脅威アクター分析：Qilinランサムウェア・アズ・ア・サービス（RaaS）オペレーションとアサヒグループホールディングスへの攻撃

エグゼクティブサマリー

本レポートは、活発なランサムウェア・アズ・ア・サービス（RaaS）オペレーションであるサイバー犯罪組織「Qilin」に関する包括的な分析を提供し、2025年9月に発生したアサヒグループホールディングスに対するサイバー攻撃への関与主張について調査するものです。「Agenda」として知られたランサムウェアから派生したQilinは、現在の脅威ランドスケープにおいて最も多産で洗練された脅威の一つへと急速に進化し、その高度な技術力と革新的でビジネスライクな恐喝手法で際立っています。

主要な調査結果として、Qilinは金銭的動機を持つロシア語圏の電子犯罪グループであり、収益性の高いRaaSプラットフォームを運営し、アフィリエイトを募集して世界中で攻撃を実行する一方、独立国家共同体（CIS）内での活動は禁止していることが示されています。このグループは「二重恐喝」モデルを採用しており、まず機密性の高い企業データを窃取した上で、被害者のネットワークを暗号化します。この戦略は、圧力を最大化し、数万ドルから数百万ドルに及ぶ身代金の支払いを確保するために設計されています。

アサヒグループホールディングスへの攻撃は、Qilinの侵入がもたらす壊滅的な可能性を示す重要なケーススタディとなります。このインシデントにより、アサヒの国内事業全体で受注、出荷、工場生産の停止など、中核的な事業機能が広範囲にわたって中断されました。これは、現代のランサムウェア攻撃が単なるIT問題ではなく、物理的なサプライチェーン、パートナー、顧客に連鎖的な影響を及ぼす深刻な事業継続イベントであることを浮き彫りにしています。Qilinがその後、犯行声明を公表し、サンプルデータを漏洩させたことは、恐喝戦略の不可欠な要素として心理的圧力と公的な強制を利用していることを裏付けています。

技術的に、Qilinのアフィリエイトは、Fortinet VPNなどの公開アプリケーションの脆弱性悪用、スピアフィッシング、盗難された認証情報の使用など、多様な戦術、技術、手順（TTPs）を駆使して初期アクセスを行います。侵入後は、正規のシステムツールを利用して通常のネットワークトラフィックに紛れ込むため、検知が困難です。ランサムウェアのペイロード自体は、Go言語からより汎用性の高いRust言語へと進化し、高度なカスタマイズが可能です。

特筆すべきは、QilinのRaaSプラットフォームがサイバー犯罪の新たなパラダイムを象徴する機能を先駆けて導入し、アフィリエイトに完全な恐喝サービススイートを提供している点です。最も注目すべきは、その「弁護士を呼ぶ（Call Lawyer）」機能であり、インシデントを法的責任や規制当局からの罰金の観点から説明することで被害者を威嚇するための法律顧問へのアクセスを提供し、恐喝プロセスを専門化させています。

本レポートは、企業がこの脅威から身を守るための戦略的提言で締めくくります。これらの対策は、積極的なパッチ管理とIDセキュリティによる攻撃対象領域の強化、ネットワークセグメンテーションと高度なエンドポイント検知による内部耐性の向上、そして二重恐喝攻撃の多面的な圧力に対抗するために特別に設計された堅牢なインシデント対応計画の策定に焦点を当てています。

1. サイバー犯罪組織Qilinのプロファイル

サイバー犯罪グループ「Qilin」がもたらす脅威に効果的に対抗するためには、その正体、活動モデル、戦略的目標について明確かつ正確なプロファイルを確立することが不可欠です。本セクションでは、この組織の起源をたどり、その洗練されたビジネスエコシステムを解体し、他の種類の脅威アクターと区別するためにその動機を明確にすることで、基礎的な分析を提供します。

1.1 起源と正体：「Agenda」からQilinへ

現在Qilinとして知られる脅威アクターがサイバー犯罪の舞台に初めて登場したのは、2022年半ばのことでした。2022年7月と8月のセキュリティ研究者による初期分析では、このオペレーションは「Agenda」という名前で特定されていました¹。Qilinへのブランド変更は、グループのマーケティングと公的なペルソナにおける戦略的な進化を表しており、これはイメージを一新したり法執行機関の追跡を逃れたりしようとするサイバー犯罪組織の間でよく見られる慣行です。

説得力のある証拠は、このグループがロシア語圏のサイバー犯罪エコシステムに起源を持つことを示しています。この評価は、いくつかの主要な指標に基づいています。第一に、Qilinは著名なロシア語のアンダーグラウンドフォーラムで積極的にアフィリエイトを募集しており、特定の言語的・文化的層に向けてRaaSプログラムを宣伝しています³。第二に、より決定的な点として、QilinのRaaSプラットフォームには、アフィリエイトが独立国家共同体（CIS）内の組織を標的にすることを明確に禁止する「キルスイッチ」機能が組み込まれています³。この慣行は、多くのCISを拠点とする犯罪グループにとって長年の運用セキュリティ（OPSEC）対策です。これは、国内での攻撃を避けることで「安全な避難所」を維持し、それによって地元の法執行機関の注意を引き、訴追される可能性を減らすことを目的としています⁷。この地政学的な現実は、Qilinのようなグループが国外で活動している限り、ある程度の免責を享受して活動することを可能にする、世界的な大規模ランサムウェアキャンペーンの重要な要因であり続けています。したがって、潜在的な被害者にとっては、国際的な法執行活動に頼るのではなく、技術的および手続き的な防御が第一の防衛線とならなければなりません。

「Qilin」という名前（中国神話に登場する、ひづめを持つ神聖な生き物）の選択は、意図的なブランディング決定である可能性が高く、おそらくグループの真の起源に関する誤解を生むことを意図したものでしょう⁸。この名称にもかかわらず、運用上の証拠はロシア語圏の中核を強く示唆しています。

1.2 Qilinのランサムウェア・アズ・ア・サービス（RaaS）エコシステム

Qilinは、すべての攻撃を自ら行う単一の組織としてではなく、洗練されたランサムウェア・アズ・ア・サービス（RaaS）プラットフォームとして運営されています。このビジネスモデルは、そのスケーラビリティと成功の中心です。RaaSモデルでは、中核となる開発チームがランサムウェアのペイロード、コマンド＆コントロール（C2）インフラ、データリークサイト、交渉ポータルの作成と維持を担当します。この完全なパッケージは、その後、「アフィリエイト」として知られる第三者のサイバー犯罪者に貸し出され、彼らが被害者のネットワークへのアクセスを取得し、ランサムウェアを展開する責任を負います⁷。

Qilinの成長の主な原動力は、非常に魅力的な利益分配契約です。このグループは、成功した身代金支払いの大部分をアフィリエイトに提供しており、通常、300万ドル未満の身代金に対しては80%、それを超える支払いに対しては85%という高い比率を提示しています³。この有利な分配は、より広範なサイバー犯罪コミュニティから熟練し、意欲的なアフィリエイトを引き付け、維持するための強力なインセンティブとして機能します。

このモデルの有効性は、Qilinがランサムウェアの世界で急速に台頭したことからも明らかです。グループの活動は2025年第2四半期に劇的に急増し、世界で最も活発で危険な脅威の一つとしての地位を確立しました¹¹。この台頭は、RansomHubなどの他の主要なRaaSオペレーションの混乱と崩壊によって一部後押しされました。これらの競合プラットフォームが機能しなくなると、経験豊富な「フリーランス」のアフィリエイトたちが、活動を続けるための新しい信頼できるプラットフォームを探し求めました。Qilinは、この人材を吸収する戦略的な位置にあり、攻撃量の急増に貢献しました⁴。この力学は、RaaS市場が流動的で競争の激しい犯罪経済であり、あるリーダーの失脚がしばしばその後継者の台頭を直接的に促進することを示しています。したがって、Qilinの成功は、その技術的能力だけでなく、不安定な犯罪市場におけるビジネス手腕の賜物でもあります。

1.3 動機と標的：金銭的利益を追求するオペレーション

Qilin組織の第一かつ最大の動機は、恐喝による金銭的利益です⁴。スパイ活動を目的とする国家支援のアクターや、イデオロギーに動かされるハクティビストとは異なり、Qilinの活動は基本的に商業的です。標的の選定から二重恐喝モデルに至るまで、彼らのTTPsのあらゆる側面は、身代金の支払い可能性と金額を最大化するように調整されています。身代金の要求額は柔軟で、被害者に応じて調整され、通常は5万ドルから80万ドル以上、一部の要求は数百万ドルに達することもあり、これは標的の支払い能力に対する現実的な評価を反映しています¹⁰。

Qilinの標的選定は主に機会主義的ですが、業務の中断がコスト高となり、データの機密性が高い高価値セクターを明確に好む傾向があります。これらの業界には、医療、製造業、法律サービス、金融サービスが含まれます¹⁰。これらのセクターの組織は、迅速に業務を復旧させ、機密性の高い顧客、患者、または専有データの公開を防ぐために、身代金を支払う意欲が高いことが多いです。

特に注目すべきは、日本企業への関心の高まりです。アサヒグループホールディングスへの攻撃は孤立した事件ではなく、日本の組織を標的としたより広範なキャンペーンの最も注目すべき例です。以下の表に詳述するように、Qilinは2025年を通じて国内で他のいくつかの攻撃に関与しており、日本の企業環境に対する一貫した継続的な脅威を示しています。

1.4 Qilinとハクティビズムの区別：重要な明確化

金銭的動機を持つ電子犯罪グループであるQilinと、イデオロギーに動かされる「ハクティビスト」グループとを明確に区別することが極めて重要です。両者は同じ地理的地域から発生する可能性がありますが、その目的、戦術、最終的な目標は根本的に異なります。調査対象には、KillnetやNoName057(16)のような親ロシア派のハクティビストグループに関する情報が含まれており、これらはしばしば国家の利益と一致した政治的動機によるサイバー戦争に従事しています¹⁸。彼らの典型的な活動には、ウェブサイトを妨害するための分散型サービス妨害（DDoS）攻撃、プロパガンダを広めるためのウェブサイトの改ざん、地政学的な敵対者を困惑させたり害したりすることを意図したデータ漏洩が含まれます²⁰。

Qilinはこのプロファイルには当てはまりません。ロシア語圏に起源を持つにもかかわらず、その運用フレームワーク全体は、恐喝のみを目的としたランサムウェアの展開とデータ窃取という犯罪ビジネスモデルを中心に構築されています⁴。彼らの身代金要求メモやリークサイトには、イデオロギー的または政治的なメッセージは一切ありません。この区別は、正確な脅威モデリングにとって不可欠です。ハクティビストグループへの対応は、DDoS攻撃を乗り切り、広報を管理することを含むかもしれませんが、Qilinへの対応は、事業継続、データ復旧、そして高リスクの恐喝要求への対応に焦点を当てた複雑なインシデント対応プロセスを伴います。この二つを混同すると、防御リソースの誤った配分や、敵の最終目標の不正確な評価につながる可能性があります。

2. Qilin攻撃の解剖学：TTPsの技術的分析

Qilinのアフィリエイトが用いる技術的な方法論、すなわち戦術、技術、手順（TTPs）を理解することは、効果的な検知、予防、および対応戦略を開発する上で最も重要です。本セクションでは、グループの運用プレイブックを解体し、そのマルウェア兵器の進化を検証し、典型的な攻撃ライフサイクルをマッピングして、侵入が初期の侵害から最終的な影響に至るまでの詳細な見解を提供します。

2.1 Qilinの兵器庫：マルウェアの進化と能力

Qilinオペレーションの中核は、そのランサムウェアペイロードであり、有効性を高め、検知を回避するために大幅な進化を遂げてきました。このマルウェアは最初に「Agenda」として特定され、Goプログラミング言語（Golang）で書かれていました¹。しかし、グループはその後、主要なランサムウェアの亜種をRustで開発する方向に移行しました¹。この戦略的な転換は示唆に富んでいます。Rustはマルウェア開発においていくつかの重要な利点を提供します。C/C++に匹敵する高性能を提供し、メモリ安全性を向上させることでコードをより安定させることができ、そして決定的に、クロスプラットフォームコンパイルを容易にします。これにより、QilinはWindows、Linux、VMware ESXi環境など、さまざまなオペレーティングシステムで実行可能なペイロードを単一のコードベースで簡単に作成でき、潜在的な標的基盤を劇的に拡大できます²⁴。さらに、Rustバイナリの複雑さは、セキュリティ研究者によるリバースエンジニアリングと分析をより困難にする可能性があります。

Qilinランサムウェアの決定的な特徴は、その高度なカスタマイズ性です。RaaSプラットフォームは、アフィリエイトにコントロールパネルを提供し、各被害者ごとにマルウェアペイロードを構成できるようにします²。このカスタマイズには、暗号化または除外するファイルタイプやディレクトリの定義、暗号化開始前に終了させるサービスやプロセス（例：データベース、セキュリティソフトウェア）の指定、暗号化されたファイルに付加する特定のファイル拡張子の設定などが含まれます¹⁰。このオーダーメイドのアプローチは、各攻撃がユニークであることを意味し、静的なシグネチャベースの検知方法に頼ることを困難にします。

2.2 攻撃ライフサイクル：侵入から影響まで

Qilinの攻撃は、MITRE ATT&CK®のような業界標準のフレームワークにマッピングできる明確なライフサイクルに従います。これにより、侵入の各段階における敵の行動を構造化された方法で理解することができます。

初期アクセス（TA0001）： Qilinのアフィリエイトは、標的の境界を突破するために多角的なアプローチを採用しており、組織の防御における最も弱い点を見つける適応性を示しています。この多様な侵入経路は、パッチ管理、ユーザートレーニング、またはIDセキュリティにおける単一の障害点が全面的な侵害につながる可能性があるため、多層防御戦略が不可欠であることを意味します。

• 公開アプリケーションの悪用（T1190）： これは非常に好まれ、効果的な侵入経路です。アフィリエイトは、インターネットに公開されているインフラの既知の脆弱性を積極的にスキャンし、悪用します。特に、Fortinet FortiOS SSL-VPN（例：CVE-2024-21762）やVeeam Backup & Replicationソフトウェア（例：CVE-2023-27532）の欠陥を標的にしていることが確認されています¹¹。

• フィッシング（T1566）： 悪意のある添付ファイルやリンクを含むメールを用いたスピアフィッシングキャンペーンは、従業員を騙してマルウェアを実行させたり、認証情報を漏洩させたりするための一般的な手法として依然として使用されています⁷。

• 有効なアカウント（T1078）： アフィリエイトは、以前に盗まれた、ダークウェブマーケットプレイスで購入された、またはリモートデスクトッププロトコル（RDP）のような公開サービスに対するブルートフォース攻撃によって取得された正規の認証情報をしばしば使用します³。

実行（TA0002）と永続化（TA0003）： 内部に侵入すると、攻撃者はツールを実行し、永続的な足場を確立します。

• 実行には、PowerShellのような正規のスクリプトエンジンが頻繁に使用され、後続のペイロードをダウンロードして実行したり、偵察を行ったりします²⁶。

• システムの再起動後もアクセスを維持するため、スケジュールされたタスクの作成（T1053）やレジストリの実行キーへのエントリ追加（T1547）などの方法で永続性を確立します¹³。

防御回避（TA0005）： オペレーションの重要な部分は、検知を回避することです。

• Qilinのペイロードは、セキュリティソフトウェア（例：アンチウイルス、EDR）やバックアップソリューションに関連するプロセスを終了させるように設計されています¹²。

• 彼らは、Windowsイベントログを体系的にクリアし、フォレンジックアーティファクトを削除して痕跡を消し、インシデント対応調査を妨害します⁸。

• 観測されたNETXLOADERのような高度なローダーが、最終的なランサムウェアペイロードを配信するために使用されます。これらのローダーは、高度な難読化を採用し、マルウェアを直接メモリ内で実行します。これは、ファイルベースのアンチウイルススキャンをバイパスするために設計された手法です²³。

認証情報アクセス（TA0006）、発見（TA0007）、横展開（TA0008）： 橋頭堡を確立した後、主な目標は権限を昇格させ、ネットワークを横断して高価値の資産を特定することです。

• 攻撃者は、Mimikatzのようなツールを使用して、侵害されたマシンのメモリから認証情報をダンプし、特にローカルセキュリティ機関サブシステムサービス（LSASS）プロセスから管理者パスワードを収集します¹³。また、Chromeのようなウェブブラウザに保存されている認証情報も盗みます³。

• ネットワークスキャナやBloodHoundのようなActive Directory列挙ツールを使用して広範な内部偵察を行い、ネットワークトポロジをマッピングし、ドメインコントローラ、ファイルサーバ、バックアップインフラを特定します²。

• 昇格された認証情報を使用して、ネットワーク全体を横展開します。これはしばしば、正規の管理ツールを使用して行われ、「Living off the Land」（LotL）として知られる手法です。一般的なツールには、リモートデスクトッププロトコル（RDP）、PsExec、Windows Management Instrumentation（WMI）が含まれます¹³。この「紛れ込む」哲学は、防御者が悪意のある活動と日常的な管理タスクを区別することを非常に困難にし、シグネチャベースの検知から行動分析と異常検知への移行を必要とします。

影響（TA0040）： 攻撃の最終段階は、Qilinのビジネスモデルの中核である「二重恐喝」戦略の実行です。

2.3 二重恐喝モデル：データ窃取と暗号化

Qilinのような現代のランサムウェアオペレーションの決定的な特徴は、「二重恐喝」戦術です。この戦略は、被害者に対して2つの異なる形の圧力をかけることを含みます。

第一に、データ窃取（T1567）： ファイルを暗号化する前に、攻撃者は被害者のネットワークから大量の機密データを盗むためにかなりの時間と労力を費やします。この目的のために、安全なファイル転送のためのWinSCPや、Mega.nzやDropboxのようなクラウドストレージサービスにファイルやディレクトリを同期するためのコマンドラインプログラムであるRcloneなど、さまざまなツールを使用します¹³。この窃取されたデータが、第二の恐喝のてことなります。

第二に、データ暗号化（T1486）： データが盗まれた後、攻撃者はQilinランサムウェアのペイロードをネットワーク全体に展開します。マルウェアは、サーバーやワークステーション上のファイルを体系的に暗号化し、アクセス不能にします。暗号化プロセスは非常に効率的で、AES-256やChaCha20のような強力な暗号化アルゴリズムを使用しており、ユニークな復号キーなしではファイルの回復を計算上不可能にします¹⁰。前述の通り、アフィリエイトは、暗号化の速度と完全性のバランスを取るために、いくつかの暗号化モードから選択できます。例えば、「高速」モードは、プロセスを高速化するために大きなファイルの最初の部分のみを暗号化するかもしれませんが、「通常」モードはファイル全体を暗号化します⁵。

暗号化後、侵害されたシステムには身代金要求メモが残されます。このメモは、被害者に対して、復号キーの支払いを交渉するため、そして決定的に、盗まれたデータを漏洩しないという約束を得るために、Torネットワーク上の安全なポータルを介して攻撃者に連絡する方法を指示します。被害者が支払いを拒否した場合、Qilinは会社の名前を公開の「リークサイト」に投稿し、窃取したデータの公開を開始します。これにより、暗号化による技術的な混乱に加えて、甚大な公的、規制上、および評判上の圧力がかかります。

3. ケーススタディ：アサヒグループホールディングスへのサイバー攻撃

2025年9月のアサヒグループホールディングスへのサイバー攻撃は、Qilinオペレーションの実行とその壊滅的な結果を、現実世界で鮮明に示しています。この事件は、洗練されたランサムウェア攻撃が、デジタル領域を超えて、主要なグローバル企業とそのサプライチェーン全体に具体的で物理的な世界の混乱を引き起こす方法を理解するための重要なケーススタディとなります。

3.1 インシデントのタイムラインと攻撃の再構築

攻撃の公にされた出来事は、内部のシステム障害から始まり、Qilin組織による犯行声明の公表で終わるまで、約10日間にわたって展開されました。以下のタイムラインは、公式の会社声明とメディア報道に基づいて主要な出来事を再構築したものです。

3.2 Qilinの主張と公式発表の比較

攻撃者の主張と被害者の公式声明を直接比較すると、恐喝プロセスの計算された性質が明らかになります。

• Qilinの主張： グループは具体的で損害を与える主張を行いました。彼らは、財務記録、予算、契約書、開発計画、従業員の個人情報を含む27GBの機密企業データを窃取したと主張しました¹。主張を裏付け、圧力を高めるために、彼らは盗んだデータの一部を証拠としてリークサイトで公開しました¹⁶。ある未確認の報告では70万ドルの身代金要求があったと述べられていますが、この数字は広く確認されていません³⁷。

• アサヒの発表： アサヒグループホールディングスは、より慎重で法的に賢明なコミュニケーション戦略を追求しました。同社はランサムウェア攻撃の被害者であることを確認し、「情報漏洩の可能性を示す痕跡」の発見を認めました²⁹。しかし、さらなる損害を防ぐ必要性と進行中の調査を理由に、同社はQilinの主張の具体的内容、関与したデータの正確な性質、または身代金要求があったかどうかについては確認を控えました³⁸。

この食い違いは、このようなインシデントでは典型的です。攻撃者は大胆で具体的な主張を通じて公的な圧力を最大化しようとしますが、被害者組織は透明性と、複雑な調査を管理し、状況をエスカレートさせたり法的責任を負ったりする可能性のある行動を避ける必要性とのバランスを取らなければなりません。犯行声明の公表は、意図的なエスカレーション戦術です。これは、身代金に関する直接的で私的な交渉が行き詰まったり、拒否されたりした場合にしばしば発生します。攻撃者は「公にする」ことで、データ漏洩による評判の損害の脅威、規制当局からの罰金（例：GDPRやAPPI違反に対する）の可能性、顧客やパートナーからの訴訟の恐れといった新たな形の圧力を導入します。これにより、恐喝は私的な交渉から公的な危機へと変わり、被害者の経営陣に支払いを再考させるための計算された動きとなります。

3.3 ビジネスおよびサプライチェーンへの影響分析

アサヒの事件から得られる最も重要な教訓は、事業運営とより広範なサプライチェーンへの深刻かつ連鎖的な影響です。

• 業務の中断： 攻撃はオフィスのITシステムに限定されず、同社の国内事業全体を支える中核的な運用技術（OT）を直撃しました。受注・出荷システムの停止は、同社の物流を停止させました²⁹。

• 生産停止： システム障害は物理的な生産に直接影響を与えました。アサヒの国内ビール工場6つすべてが操業停止を余儀なくされ、サイバーセキュリティと製造生産高との直接的な関連性を示しました³²。

• サプライチェーンへの連鎖的影響： この混乱は、アサヒの広範なサプライチェーンを通じて外側に波及しました。スーパーマーケット、コンビニエンスストア、レストランは、アサヒスーパードライなどの人気商品の不足に直面しました³³。コープの宅配サービスのような第三者パートナーは、ビール、飲料、食品など、幅広いアサヒ製品の在庫切れの可能性について、組合員に事前に警告する必要がありました⁴¹。パートナーからのこの外部コミュニケーションは、サプライチェーンへの影響の深刻さを強力に、独立して裏付けるものです。

• 商業およびマーケティングへの影響： 攻撃は収益を生み出す活動に直接影響を与えました。同社は、ビール、飲料、食品部門にわたる少なくとも10の新商品の発売を延期せざるを得ませんでした³²。新商品の発売は、消費財業界において重要で時間に敏感なイベントであり、その遅延は市場の勢いと収益の大きな損失を意味します。

3.4 アサヒの事件からの教訓：脅威の「本質」

このケーススタディは、現代のランサムウェア脅威の「本質」を明らかにし、純粋に技術的な定義を超えて、戦略的なビジネスリスクへと移行させます。この攻撃は、インダストリー4.0としばしば呼ばれる、高度にデジタル化され相互接続された製造環境において、サイバーリスクが運用リスクと同義であることを示しています。ITサーバーの侵害は、物理的な生産ラインと物流ネットワークの即時停止につながりました。

さらに、この事件は、現代の「ジャストインタイム」サプライチェーンがサイバー脅威に対して本質的に脆弱であることを露呈しています。これらのシステムは効率性と最小限の在庫に最適化されており、それが非常に収益性が高い一方で、非常に脆いものにもしています。アサヒが経験したような体系的なショックを吸収するためのバッファはほとんどありません。全国での即時の製品不足は、一企業へのサイバー攻撃が、流通業者、小売業者、消費者のエコシステム全体にとってのサプライチェーン危機となったことを示しています。これは、リスク管理の再評価を強いるものであり、サイバーセキュリティは、自然災害や地政学的な不安定性といった従来のリスクと同等に、サプライチェーンのレジリエンスの中核的な構成要素として考慮されなければなりません。

4. Qilin RaaSプラットフォーム：サイバー犯罪サービスの新たなパラダイム

Qilin RaaSオペレーションは、その技術的な熟練度だけでなく、単なるマルウェア提供者から、包括的でサービス指向の犯罪企業へと進化した点でも注目に値します。このプラットフォームの革新的な機能、特に恐喝プロセスを強化するために設計された機能は、サイバー犯罪経済の成熟を示し、RaaSモデルの新たな基準を打ち立てています。

4.1 ランサムウェアを超えて：フルサービスの恐喝プラットフォーム

Qilinは、戦略的に自らを「フルサービスのサイバー犯罪プラットフォーム」として位置づけています⁵。アフィリエイトに対する価値提案は、単にランサムウェアのペイロードへのアクセスにとどまりません。このグループは、恐喝ライフサイクルのあらゆる段階をサポートし、被害者への心理的圧力を最大化するために設計された、統合されたツールとサービスのスイートを提供しています。

これらの付随サービスには、分散型サービス妨害（DDoS）機能が含まれており、交渉中に被害者の公開ウェブサイトを麻痺させ、さらなる業務中断の層を加えることができます⁵。また、このプラットフォームは、被害者の企業のメールアドレスや電話番号に大量のメッセージを送りつけるスパムツールも提供しており、これは従業員を悩ませ、組織内の混乱感を増幅させるための戦術です²⁴。さらに、Qilinはアフィリエイトに、リークサイト用のブログ投稿を作成するのを手伝う社内の「ジャーナリスト」チームへのアクセスを提供し、公的な辱めが可能な限り損害を与え、専門的に提示されるようにしています²⁴。この技術ツール提供者からビジネス支援プラットフォームへの進化は、技術的に未熟な犯罪者の参入障壁を下げると同時に、すべてのアフィリエイトの有効性を高めます。彼らはもはや単にマルウェアを借りているのではなく、完全な恐喝ビジネスモデルをフランチャイズしているのです。

4.2 「弁護士を呼ぶ」機能：法的・心理的圧力の武器化

Qilinプラットフォーム内で最も斬新で懸念される革新は、「弁護士を呼ぶ（Call Lawyer）」機能です⁵。このサービスは、ダークウェブのフォーラムでアフィリエイトに宣伝されており、身代金交渉中に支援するための法務チームへのアクセスを提供します²⁴。

表向きには、このサービスの目的は、盗まれたデータの「法的評価」を提供することです。この「弁護士」は、窃取された情報を分析し、被害者の管轄区域（例：GDPR、HIPAA、APPI）に基づいて潜在的な法的・規制上の違反を分類し、被害者が訴訟、規制当局からの罰金、その他の法的費用から直面する可能性のある潜在的な金銭的損害の見積もりを提供します²⁴。

しかし、この機能の真の目的は心理戦です。交渉チャットに「弁護士」を登場させることは、被害者の経営陣や法務顧問を威嚇するために計算された戦術です。これにより、交渉の力学は、データ復旧に関する技術的な議論から、壊滅的な法的・財政的責任に関する高リスクの会話へと根本的にシフトします。Qilinの運営者自身が広告で述べているように、「チャットに弁護士が現れるだけで、会社に間接的な圧力をかけ、身代金額を増やすことができる」のです⁵。この恐喝プロセスの専門化は、戦略的な軍拡競争を表しています。被害者組織がこれらの危機を管理するために専門のインシデント対応会社や自社の法務顧問にますます依存するようになるにつれて、サイバー犯罪者もこの専門化を模倣し、自らの影響力を維持し、防御側からの構造化された専門家主導の対応に対抗しています。

4.3 統合された圧力戦術とアフィリエイトサポート

Qilin RaaSプラットフォームは、アフィリエイトへの包括的なサポートを提供することを中心に構築されています。アフィリエイトパネルは、攻撃の深いカスタマイズ、リークサイトでの被害者晒し投稿の管理、交渉プロセスの完全なサポートへのアクセスを可能にする洗練されたダッシュボードです³。アフィリエイトは、交渉を自分で行うか、中核となるQilinチームに委任するかを選択できます²⁴。

これらのさまざまなツールとサービスの統合は、強力で多角的な恐喝戦略を生み出します。被害者組織は、単に暗号化されたファイルに対処しているだけではありません。彼らは同時に、技術的攻撃（暗号化、DDoS）、運用上の攻撃（システムダウンタイム、サプライチェーンの混乱）、そして心理的攻撃（法的脅迫、公的な辱め、従業員への嫌がらせ）に直面しています。この包括的なアプローチは、被害者の意思決定プロセスを圧倒し、身代金を支払うことが危機を解決するための最も手っ取り早い道であるように見せることを目的としています。

5. 戦略的提言と防御策

QilinのTTPsの詳細な分析と、アサヒグループホールディングスの事件から得られた戦略的教訓に基づき、この脅威および同様の高度なランサムウェア脅威から身を守ろうとする企業向けに、以下の実行可能な提言を提供します。これらの対策は、初期侵入から最終的な影響までの攻撃ライフサイクル全体に対処する、多層防御の哲学に基づいて構成されています。

5.1 境界の強化：初期アクセスの緩和

初期アクセス段階は、Qilin攻撃の中で最も重要かつ多様な段階です。堅牢な防御には、組織の境界を保護するための多層的なアプローチが必要です。

• 積極的な脆弱性およびパッチ管理： Qilinのアフィリエイトは、公開されているシステムの脆弱性を積極的に悪用することが知られています。組織は、インターネットに面したインフラを優先して、厳格かつタイムリーなパッチ管理プログラムを実施する必要があります。特に、VPNゲートウェイ（例：Fortinet）、リモートアクセスソリューション、データ管理プラットフォーム（例：Veeam Backup & Replication）は、文書化されたQilinの標的であるため、特別な注意を払う必要があります¹³。

• IDおよびアクセス管理（IAM）の強化： 盗まれた認証情報は主要な侵入経路です。すべてのリモートアクセスサービス、クラウドアプリケーション、特権アカウントにわたる強力な多要素認証（MFA）の強制は、この脅威を緩和するための最も効果的な単一の制御策です²²。さらに、組織は最小権限の原則を遵守し、ユーザーアカウントが必要な役割に対して最小限のアクセスレベルしか持たないようにする必要があります。これにより、アカウントが侵害された場合でも、攻撃者が横展開する能力が制限されます。

• 高度なメールセキュリティ： フィッシングが一般的な戦術であるため、高度なメールセキュリティゲートウェイの導入が不可欠です。これらのソリューションは、従来のシグネチャベースの検出を超えて、メールの内容、リンク、送信者の評判を分析し、洗練されたスピアフィッシングの試みがエンドユーザーに届く前にブロックする必要があります⁷。

5.2 内部耐性の強化：侵入後の活動の検知と封じ込め

境界の侵害が可能であると仮定し、次の防御層は、ネットワーク内での攻撃者の活動を検知し、封じ込めることに焦点を当てます。

• ネットワークセグメンテーション： フラットなネットワークアーキテクチャは、攻撃者が侵害されたワークステーションから重要なサーバーへ自由に移動することを可能にします。ネットワークセグメンテーションを実装することで、ネットワークをより小さな、隔離されたゾーンに分割し、それらの間に厳格なアクセス制御を設けます。これにより、侵害を単一のセグメントに封じ込め、例えば、企業のIT環境での感染が工場の生産を制御する運用技術（OT）ネットワークに広がるのを防ぐことができます²⁵。

• エンドポイント検知および対応（EDR）： Qilinが「Living off the Land」技術（PowerShellやPsExecなどの正規ツールを使用）に依存しているため、従来のアンチウイルスは効果がありません。エンドポイントの活動を可視化し、悪意のある行動を検知するためには、最新のEDRソリューションが必要です。EDRツールは、不審なコマンドライン活動、LSASSからの認証情報ダンプの試み、セキュリティサービスの終了、および本レポートで特定されたその他の侵害の行動指標について警告するように構成する必要があります¹³。

• 特権アクセス管理（PAM）： 管理アカウントとツールの使用は、厳密に制御および監視されなければなりません。PAMソリューションは、特権認証情報を保管し、ジャストインタイムアクセスを強制し、RDPなどの管理ツールのセッションを記録することで、横展開を示す異常な活動の検知を可能にします。

5.3 データ保護とインシデント対応戦略

最終的な防衛線は、攻撃から回復し、恐喝の危機を効果的に管理する能力に焦点を当てています。

• 不変かつオフサイトのバックアップ： バックアップからデータを復元する能力は、攻撃の暗号化側面から回復するために不可欠です。しかし、ランサムウェアグループは積極的にバックアップを標的にして削除します。したがって、組織は3-2-1ルール（3つのコピー、2つの異なるメディア、1つはオフサイト）に従って、重要なデータの複数のコピーを維持する必要があります。少なくとも1つのコピーは、不変（読み取り専用）またはエアギャップ（オフライン）の状態で保存し、攻撃者がアクセスできないようにする必要があります²²。バックアップ復元手順の定期的で自動化されたテストは、交渉の余地なく必須です。

• 二重恐喝に特化したインシデント対応計画の策定： 一般的なIT災害復旧計画では不十分です。インシデント対応計画は、データ暗号化とデータ窃取という二重の脅威に具体的に対処するように調整されなければなりません。この計画には、以下のための事前に定義されたプロトコルが含まれている必要があります。

• 危機管理コミュニケーション： 従業員、顧客、パートナー、規制当局とのコミュニケーション戦略。

• 法務顧問の関与： データ侵害の複雑な法的および規制上の状況を乗り切るために、サイバーセキュリティを専門とする事前に審査された外部の法務顧問を顧問契約しておくべきです。

• 身代金支払いポリシー： 組織のリーダーシップは、身代金支払いの交渉に関するポリシーとプロセスを事前に決定する必要があります。これには、専門のランサムウェア交渉会社との連携や、支払いの法的および倫理的影響の理解が含まれます。このフレームワークを事前に整備しておくことで、危機の最中でのパニックによる意思決定を防ぎ、Qilinのようなグループが用いる心理的戦術に対して構造化された対応を提供します。

• サプライチェーンのサイバーリスク評価の実施： アサヒの事件は、組織のサイバーリスクがそのサプライチェーンと本質的に結びついていることを明確に示しています。企業は、最も重要なサプライヤーやパートナーのサイバーセキュリティ体制を評価するために、リスク管理プログラムを拡大する必要があります。これには、主要なサプライヤーが壊滅的なサイバー攻撃を受けた場合にどのように運営を続けるかについての緊急時対応計画の構築が含まれます。

引用文献

1. ランサムウェア グループ Qilin(キリン)とは|セキュリティ対策Lab, 10月 8, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/qilin-ransomware-group-overview/

2. A Busy Agenda: Darktrace's Detection of Qilin Ransomware as a Service Operator, 10月 8, 2025にアクセス、 https://www.darktrace.com/blog/a-busy-agenda-darktraces-detection-of-qilin-ransomware-as-a-service-operator

3. Qilin Ransomware - Blackpoint Cyber, 10月 8, 2025にアクセス、 https://blackpointcyber.com/wp-content/uploads/2024/08/Qilin-Ransomware-Threat-Profile_Adversary-Pursuit-Group-Blackpoint-Cyber_2024Q3.pdf

4. Qilin ransomware is growing, but how long will it last? - Barracuda Blog, 10月 8, 2025にアクセス、 https://blog.barracuda.com/2025/07/18/qilin-ransomware-growing

5. Ransomware Group Qilin Offers Legal Counsel to Affiliates - Infosecurity Magazine, 10月 8, 2025にアクセス、 https://www.infosecurity-magazine.com/news/ransomware-qilin-offers-legal/

6. Qilin Ransomware Gang Claims Asahi Cyber-Attack - Infosecurity Magazine, 10月 8, 2025にアクセス、 https://www.infosecurity-magazine.com/news/qilin-ransomware-asahi-cyber-attack/

7. Agenda (Qilin) Ransomware Report - Quorum Cyber, 10月 8, 2025にアクセス、 https://www.quorumcyber.com/malware-reports/agenda-ransomware-report/

8. Qilin Ransomware Explained | Understanding Cyber Attacks & Defense - Qualys Blog, 10月 8, 2025にアクセス、 https://blog.qualys.com/vulnerabilities-threat-research/2025/06/18/qilin-ransomware-explained-threats-risks-defenses

9. Advisories - Qilin Ransomware - MyCERT, 10月 8, 2025にアクセス、 https://www.mycert.org.my/portal/advisory?id=MA-1300.032025

10. qilin-threat-profile-tlpclear.pdf - HHS.gov, 10月 8, 2025にアクセス、 https://www.hhs.gov/sites/default/files/qilin-threat-profile-tlpclear.pdf

11. Qilin: Top Ransomware Threat to SLTTs in Q2 2025 - CIS Center for Internet Security, 10月 8, 2025にアクセス、 https://www.cisecurity.org/insights/blog/qilin-top-ransomware-threat-to-sltts-in-q2-2025

12. Qilin Ransomware - Blackpoint Cyber, 10月 8, 2025にアクセス、 https://blackpointcyber.com/wp-content/uploads/2025/01/Qilin-3.pdf

13. Qilin - Halcyon, 10月 8, 2025にアクセス、 https://www.halcyon.ai/threat-group/qilin

14. New Comparitech analysis finds 47% spike in ransomware, raising concerns for critical infrastructure - Industrial Cyber, 10月 8, 2025にアクセス、 https://industrialcyber.co/threats-attacks/new-comparitech-analysis-finds-47-spike-in-ransomware-raising-concerns-for-critical-infrastructure/

15. Who Is the Qilin Ransomware Group and How Do They Operate? - KELA Cyber, 10月 8, 2025にアクセス、 https://www.kelacyber.com/blog/who-is-the-qilin-ransomware-group-and-how-do-they-operate/

16. ハッカー集団、犯行声明か＝アサヒGHDシステム障害(時事通信) - Yahoo!ファイナンス, 10月 8, 2025にアクセス、 https://finance.yahoo.co.jp/news/detail/d85f51f0c29b02c185a1891750135010a3b9c63d

17. ランサムウェア グループ Qilinが新興プラスチックスへのサイバー攻撃と不正アクセスを主張, 10月 8, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/qilin-shinko-plastics-cyber-ko-geki/

18. Killnet：世界で最も有名な親ロシア派ハクティビスト集団の内幕 | Codebook｜Security News, 10月 8, 2025にアクセス、 https://codebook.machinarecord.com/cyber-intelligence/threat-actor/28312/

19. 親ロシア・グループのNATO加盟国への攻撃 | UserSec・NoName057(16)・Phoenix, 10月 8, 2025にアクセス、 https://www.sompocybersecurity.com/column/column/pro-russia-hacktivists-ddos-nato

20. ロシア・ウクライナ戦争勃発から 2年：親ロシア派ハクティビスト グループの現状 | KELA Cyber, 10月 8, 2025にアクセス、 https://www.kelacyber.com/ja/blog/russia-ukraine-war-pro-russian-hacktivist-activity-two-years-on/

21. 勢力拡大：2024年のハクティビズムを振り返る | Codebook｜Security News, 10月 8, 2025にアクセス、 https://codebook.machinarecord.com/cyber-intelligence/geopolitical-risk/37284/

22. Agenda (Qilin) Ransomware: Detection, and Mitigation - SentinelOne, 10月 8, 2025にアクセス、 https://www.sentinelone.com/anthology/agenda-qilin/

23. Agenda Ransomware Group Adds SmokeLoader and ... - Trend Micro, 10月 8, 2025にアクセス、 https://www.trendmicro.com/en_us/research/25/e/agenda-ransomware-group-adds-smokeloader-and-netxloader-to-their.html

24. Ransomware Gangs Collapse as Qilin Seizes Control - Cybereason, 10月 8, 2025にアクセス、 https://www.cybereason.com/blog/threat-alert-qilin-seizes-control

25. Qilin Ransomware: Tactics & Attack Methods - CybelAngel, 10月 8, 2025にアクセス、 https://cybelangel.com/blog/qilin-ransomware-tactics-attack/

26. Qilin Ransomware: Exposing the TTPs Behind One of the Most Active.. - Picus Security, 10月 8, 2025にアクセス、 https://www.picussecurity.com/resource/blog/qilin-ransomware

27. Ransomware Group Exploits Fortinet Vulnerabilities in Attacks | Latest Alerts and Advisories, 10月 8, 2025にアクセス、 https://www.cyber.nj.gov/Home/Components/News/News/1723/214

28. Cyber Threat Intelligence Report Q1 2025 | Chubb, 10月 8, 2025にアクセス、 https://www.chubb.com/content/dam/chubb-sites/chubb-com/us-en/business-insurance/products/cyber/documents/chubb-cyber-threat-intelligence-q1_2025.pdf?utm_campaign=&utm_content=1749562356&utm_medium=social&utm_source=linkedin&utm_tags=Cyber+-+NA,NA_LinkedIn,North+America,Report+-+NA&utm_term=na_social

29. サイバー攻撃によるシステム障害発生について（第2報）｜ニュース ..., 10月 8, 2025にアクセス、 https://www.asahigroup-holdings.com/newsroom/detail/20251003-0104.html

30. アサヒ、ランサムウエアで被害か, 10月 8, 2025にアクセス、 https://www.47news.jp/13232527.html

31. アサヒ「情報漏えい可能性の痕跡確認」, 10月 8, 2025にアクセス、 https://www.47news.jp/13242838.html

32. アサヒビール全6工場稼働・一部出荷再開および新商品発売延期のお知らせ, 10月 8, 2025にアクセス、 https://www.asahibeer.co.jp/news/2025/1006.html

33. アサヒ飲料とアサヒグループ食品がサイバー攻撃で新商品の発売を延期-アサヒ ホールディングスへのサイバー攻撃で|セキュリティニュースのセキュリティ対策Lab - 合同会社ロケットボーイズ, 10月 8, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/asahi-beverages-and-asahi-group-foods-delay-new-product-launch-due-to-cyberattack-on-asahi-holdings/

34. アサヒへのサイバー攻撃、ハッカー集団「Qilin」が犯行声明 - LOGI-BIZ online, 10月 8, 2025にアクセス、 https://online.logi-biz.com/133375/

35. アサヒ攻撃でハッカー集団が犯行声明, 10月 8, 2025にアクセス、 https://www.47news.jp/13262583.html

36. “Qilin” Hackers Claim Attack on Asahi | Nippon.com, 10月 8, 2025にアクセス、 https://www.nippon.com/en/news/yjj2025100800317/

37. 6th October – Threat Intelligence Report - Check Point Research, 10月 8, 2025にアクセス、 https://research.checkpoint.com/2025/6th-october-threat-intelligence-report/

38. アサヒグループHD ランサムウェア攻撃続報：情報漏洩の痕跡確認、工場再開も復旧未定, 10月 8, 2025にアクセス、 https://bit.gr.jp/security-11/

39. Asahi Confirms Ransomware Attack, Data Stolen from Servers - Infosecurity Magazine, 10月 8, 2025にアクセス、 https://www.infosecurity-magazine.com/news/asahi-ransomware-attack-data-stolen/

40. アサヒ グループホールディングスへのサイバー攻撃のまとめ|セキュリティニュース, 10月 8, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/asahi-group-holdings-cyberattack-halts-production-and-impacts-group-companies/

41. アサヒグループホールディングス社の商品の取り扱いについて | コープデリ連合会, 10月 8, 2025にアクセス、 https://www.coopnet.jp/info/2025/10/021722.html

42. Qilin Ransomware Adds "Call Lawyer" Feature to Pressure Victims for Larger Ransoms, 10月 8, 2025にアクセス、 https://thehackernews.com/2025/06/qilin-ransomware-adds-call-lawyer.html

43. Critical Out-of-Bounds Write Vulnerability CVE-2024-21762 in FortiOS and FortiProxy, 10月 8, 2025にアクセス、 https://digital.nhs.uk/cyber-alerts/2024/cc-4452