前回のブログ記事では、Qilinランサムウェアの概要や基本的な対策について解説しました。本記事ではその続編として、実際のQilinランサムウェアの検体を用いた検証結果に基づき、その詳細な挙動と、Cybereason製品を活用した防御策について深掘りしていきます。

検証を通じて見えてきたのは、Qilinランサムウェアがいかに巧妙かつ高速にシステムを侵害するかという実態と、被害を最小限に抑えるための的確なアプローチです。

Qilinランサムウェアの詳細な挙動フロー

検証により、Qilinランサムウェアは感染から暗号化に至るまで、以下のような緻密なステップを踏むことが確認されました 。

1. 情報収集と環境の把握

実行されると、Qilinはまずレジストリを読み込み、Windows Security Centerの設定や稼働中のサービス、メモリ設定など、セキュリティに関する詳細な情報を収集します 。さらに、コンピュータ名やログインID、MACアドレスなどを取得し、内部のログファイルに記録します 。

また、net useコマンドやレジストリを参照して共有ドライブやSMB共有を探索し、ネットワーク上の横展開(ラテラルムーブメント)の準備を行います 。

2. 隠蔽工作と調査の妨害

暗号化を確実に実行するため、Qilinはシステムの復旧や調査を妨害する行動をとります。

  • VSS(ボリュームシャドウコピー)の削除: コマンドプロンプトからvssadminを呼び出し、バックアップを削除することでファイルの復元を困難にします 。
  • サービスの停止と無効化: 稼働中の各種サービスを停止させるだけでなく、レジストリを変更して次回起動時のサービス起動設定を「無効」に変更します 。これにはイベントログ関連のサービスも含まれており、被害発生後の調査を非常に困難にさせます 。

3. 巧妙かつ高速な暗号化プロセス

準備が整うと、ローカルドライブやネットワークドライブ上のファイルを対象に暗号化を開始します 。

  • OSを破壊しない巧妙さ: すべてのファイルを無差別に暗号化するわけではなく、.exeや.dllなどのシステム維持に必要なファイルは意図的に除外されます 。これにより、OS自体は稼働し続けるためシステムは破壊されず、被害者に身代金交渉の余地(ランサムノートの確認など)を残すという狡猾な意図が見て取れます 。
  • 高速な処理: 複数スレッドを作成し、非常に高速に暗号化を実行します 。

データ窃取のタイミングに関する重要な考察

今回の検証において非常に興味深い発見がありました。ランサムウェア実行後、外部へのインターネット通信の発生は確認されませんでした 。少なくとも管理者権限なしで実行した場合、暗号化は行われてもデータの外部送信はされていないことがわかっています 。

この事実から、**「データの抜き取り(情報窃取)は、ランサムウェア本体の実行とは別の仕組みやフェーズで実装されている」**可能性が高いと推察されます 。 したがって、万が一ファイルが暗号化されてしまった場合でも、「即座に外部へデータが流出した」と早合点してパニックに陥る必要はありません 。まずは落ち着いて、侵害がどこまで及んでいるのか、どのフェーズにあるのかを冷静に確認・調査することが初動対応において極めて重要です 。

Cybereasonによる防御の有効性

このような高度な脅威に対し、Cybereason NGAV/EDRはQilinランサムウェアの実行および横展開による暗号化防止に高い効果を発揮することが実証されました 。

ファイルサーバー保護による被害局所化

特に有効なのが、CybereasonのPRP(ランサムウェア実行防止)機能です。ファイルサーバー側でPRPを有効化しておけば、仮にクライアント端末が感染してしまった場合でも、ファイルサーバーや共有アクセス権を悪用した横展開による暗号化を強固に防止できます 。 Qilinは繰り返し暗号化を試みますが、サーバー側での防御体制を整えることで、組織全体への壊滅的な被害を防ぐことが可能です 。

自動隔離による迅速な封じ込め

感染端末においてXR(Extended Response)が有効化されていれば、Cybereasonがランサムウェアの挙動(VSSの削除など)を検知した段階で自動的に端末を隔離します 。これにより、人手を介さずとも被害の拡大を即座に抑え込むことができます 。

まとめ

Qilinランサムウェアは、事前の綿密な情報収集から調査の妨害、そしてOSを稼働させたまま高速に暗号化を行うなど、非常に洗練された手口を用います。しかし、その挙動を正しく理解し、ファイルサーバーを含めた適切なエンドポイント保護(NGAV/EDR)を講じることで、その脅威を確実に封じ込めることが可能です。

組織のデータを守るためにも、改めて自社のセキュリティ対策の有効性を見直し、多層的な防御体制を構築しておくことを推奨します。

検証動画を公開しています

今回検証した内容を動画に収めたものを2本Youtube上に公開しています。ご興味ある方は是非ご覧ください。

動作検証 – Qilinランサムウェア

【Qilinランサムウェア】Cybereason 検知・実行防止デモ