アサヒを襲ったランサムウェア集団“麒麟”(Qilin)とは? 世界中で被害多発、カルテル結成でさらに勢力拡大も
この頃、セキュリティ界隈で
2025年10月16日 08時00分 公開
[鈴木聖子,ITmedia]
印刷
見る
Share
31
0
アサヒグループホールディングスに対するサイバー攻撃で一躍、日本でも知られるようになったランサムウェア集団「Qilin」。現在、世界で最も強い勢力を持ち、各国の企業や団体を次々と混乱に陥れて巨額を稼ぎ出している。アサヒへの攻撃の直前には別の有力ランサムウェア集団と組んで「カルテル」の結成を発表しており、攻撃の一層の激化が懸念されている。
photo
ランサムウェア集団“麒麟”(Qilin)とは?
Qilinは「サービスとしてのランサムウェア(RaaS)」と呼ばれる犯罪ビジネスを展開する集団で、狙った相手のデータを暗号化するランサムウェアのコードや、恐喝用のデータ暴露サイトなどのインフラを実行犯に提供して分配金を受け取っている。効率的な組織運営やリクルート活動などはビジネスそのもの。闇フォーラムにバナー広告を掲載するなど宣伝にも力を入れ、不正侵入を専業とする「イニシャルアクセスブローカー」(IAB)集団と提携するなどサービスの強化にも余念がない。
各国の企業や団体を恐喝 最大約60億円の利益
イスラエルのサイバーセキュリティ企業であるKELAによると、Qilinに狙われた標的は米国や欧州の大手企業から地方自治体、アフリカのNPOまで多岐にわたる。中でもアサヒのような製造業が狙われやすいのは、機密情報を扱っていながらセキュリティ対策が比較的甘く、業務の再開を急がなければならないプレッシャーが強いためと思われる。
Qilinが2022年に登場してから25年9月21日までに犯行声明を出した件数は、KELAの推計で792件。別のサイバーセキュリティ企業である米ZeroFoxの集計では、Qilinの被害は25年7~9月期半期だけで少なくとも227件と、RaaS集団の中で最も多かった(ちなみに2位は「Akira」の136件)。被害額は1件当たり600万~4000万ドル(9億~60億円)とされ、24年6月に被害に遭った英国の医療関連会社Synnovisは5000万ドルを要求されたという。
Qilinの名称は中国に伝わる神獣「麒麟」に由来するとサイバーセキュリティ企業の米Qualysは推測する。22年の登場以来、これまでに25カ国以上で攻撃に関与しているといい、当初は中国軍や北朝鮮などの国家が関与する集団も顧客としてQilinのサービスを利用していたとの情報もある。
ランサムウェア3集団が提携、原発攻撃の恐れも
サイバーセキュリティ企業の米ReliaQuestは、Qilinが有力ランサムウェア集団の「LockBit」および「DragonForce」と手を組んで、25年9月3日にカルテルの結成を発表したと伝えた。各集団の手口やリソース、インフラを共有することで、ランサムウェアビジネスの運営能力を強化して攻撃の頻度や効率の向上を狙う。
この提携によって重要インフラに対する攻撃が急増したり、これまではリスクが低いと思われていた業界にとっての危険が増大したりする恐れがあるとReliaQuestは分析。原子力発電所のような施設が標的にされる可能性もあると指摘した。
Qilinと手を組んだLockBitは、24年2月に欧州刑事警察機構(ユーロポール)や米連邦捜査局(FBI)など各国の捜査機関が連携して摘発した集団。主要メンバーが逮捕されてインフラが差し押さえられ、首謀者とされる男も指名手配されている。
この影響でLockBitはしばらく鳴りを潜めていたが、Qilinとの提携を発表した25年9月3日に新