Qilinとは
Qilin(キリン)ハッカーとは、Qilin(別名:Agenda)ランサムウェアを運用するロシア系(またはロシア語圏)のサイバー犯罪グループです。
Qilinの概要
活動開始:
2022年7月頃(当初は「Agenda」として登場、9月頃に「Qilin」にリブランド)。
運用形態:
Ransomware-as-a-Service (RaaS)。核心グループがツール・インフラを提供し、アフィリエイト(協力者)が攻撃を実行。身代金の15-20%を核心グループが受け取るビジネスモデル。
特徴:
- 二重恐喝(Double Extortion): データを暗号化するだけでなく、事前にデータを盗み出し、公開を脅す。
- マルウェア: 最初はGo言語(Golang)、後にRustで書き直され、Windows/Linux/ESXiなどクロスプラットフォーム対応。検知回避能力が高く、カスタマイズ可能。
- 2025年には非常に活発で、数百件以上の攻撃を主張。特にRansomHubなどの他グループの衰退後、多くのアフィリエイトが流入し、トップクラスの活動量を誇る。
日本での被害例
2025年9月にアサヒグループホールディングス(Asahi Group Holdings)が大規模攻撃を受けました。
- 国内30工場が停止、生産・出荷に影響。
- 取引先・従業員などの個人情報約11万件が流出。
- 身代金を支払わず、Qilinのリークサイトでデータが公開された事例。
日本企業・機関も標的になっており、注意が必要です。
攻撃手法(主なTTPs)
- 初期侵入: フィッシング、VPN/RDPの脆弱性悪用、盗まれた認証情報など。
- 横移動・権限昇格: ネットワーク内を移動し、管理者権限を獲得。
- データ窃取: 重要なデータを外部に持ち出し。
- 暗号化: ランサムウェア展開(プロセス停止、ファイル暗号化)。
- 恐喝: 身代金要求 + データ公開脅迫。
現在の状況(2026年時点)
- 非常に活発で、2025-2026年にかけて医療、製造、SLTT(州・地方自治体)、食品業界などを広く攻撃。
- 他のランサムウェアグループの崩壊・衰退により、勢力を拡大中。
防御策のポイント:
- 多要素認証(MFA)の徹底
- VPN/リモートアクセスの強化と監視
- 定期的なバックアップ(オフライン/3-2-1ルール)
- EDR/XDRなどの高度なEndpointセキュリティ
- パッチ適用とゼロトラストモデルの導入
Qilinは現在も進行中の脅威です。企業・組織は早期にセキュリティ対策を見直すことをおすすめします。
中国との関係はほとんど無い
Qilin(麒麟)の名前の由来は、中国神話の架空の生き物「麒麟(Qílín)」からです。
中国との関係は?
ほとんどありません。
- 運営はロシア語のダークウェブフォーラム(RAMPなど)でアフィリエイトを募集
- CIS諸国(旧ソ連圏)を標的にしないポリシー(ロシア系グループの典型)
- コードやコミュニケーションにロシア語の痕跡
一部で初期開発者に中国関連の言及(BianLianというハンドル名など)がありますが、全体としてロシア語圏の金融犯罪グループというのが現在のコンセンサスです。
「中国名っぽいけど、中国とは無関係。ただの恰好いいブランディング」です。ランサムウェア業界ではよくあるパターンです。
