Qilin(キリン)はロシア系(またはロシア語圏)のサイバー犯罪グループ

Qilinとは

Qilin(キリン)ハッカーとは、Qilin(別名:Agenda)ランサムウェアを運用するロシア系(またはロシア語圏)のサイバー犯罪グループです。

Qilinの概要

活動開始:

2022年7月頃(当初は「Agenda」として登場、9月頃に「Qilin」にリブランド)。

運用形態:

Ransomware-as-a-Service (RaaS)。核心グループがツール・インフラを提供し、アフィリエイト(協力者)が攻撃を実行。身代金の15-20%を核心グループが受け取るビジネスモデル。

特徴:

  • 二重恐喝(Double Extortion): データを暗号化するだけでなく、事前にデータを盗み出し、公開を脅す。
  • マルウェア: 最初はGo言語(Golang)、後にRustで書き直され、Windows/Linux/ESXiなどクロスプラットフォーム対応。検知回避能力が高く、カスタマイズ可能。
  • 2025年には非常に活発で、数百件以上の攻撃を主張。特にRansomHubなどの他グループの衰退後、多くのアフィリエイトが流入し、トップクラスの活動量を誇る。

日本での被害例

2025年9月にアサヒグループホールディングス(Asahi Group Holdings)が大規模攻撃を受けました。

  • 国内30工場が停止、生産・出荷に影響。
  • 取引先・従業員などの個人情報約11万件が流出。
  • 身代金を支払わず、Qilinのリークサイトでデータが公開された事例。

日本企業・機関も標的になっており、注意が必要です。

攻撃手法(主なTTPs)

  1. 初期侵入: フィッシング、VPN/RDPの脆弱性悪用、盗まれた認証情報など。
  2. 横移動・権限昇格: ネットワーク内を移動し、管理者権限を獲得。
  3. データ窃取: 重要なデータを外部に持ち出し。
  4. 暗号化: ランサムウェア展開(プロセス停止、ファイル暗号化)。
  5. 恐喝: 身代金要求 + データ公開脅迫。

現在の状況(2026年時点)

  • 非常に活発で、2025-2026年にかけて医療、製造、SLTT(州・地方自治体)、食品業界などを広く攻撃。
  • 他のランサムウェアグループの崩壊・衰退により、勢力を拡大中。

防御策のポイント:

  • 多要素認証(MFA)の徹底
  • VPN/リモートアクセスの強化と監視
  • 定期的なバックアップ(オフライン/3-2-1ルール)
  • EDR/XDRなどの高度なEndpointセキュリティ
  • パッチ適用とゼロトラストモデルの導入

Qilinは現在も進行中の脅威です。企業・組織は早期にセキュリティ対策を見直すことをおすすめします。

 

 

中国との関係はほとんど無い

Qilin(麒麟)の名前の由来は、中国神話の架空の生き物「麒麟(Qílín)」からです。

中国との関係は?

ほとんどありません。

  • 運営はロシア語のダークウェブフォーラム(RAMPなど)でアフィリエイトを募集
  • CIS諸国(旧ソ連圏)を標的にしないポリシー(ロシア系グループの典型)
  • コードやコミュニケーションにロシア語の痕跡

一部で初期開発者に中国関連の言及(BianLianというハンドル名など)がありますが、全体としてロシア語圏の金融犯罪グループというのが現在のコンセンサスです。

「中国名っぽいけど、中国とは無関係。ただの恰好いいブランディング」です。ランサムウェア業界ではよくあるパターンです。