アサヒを襲ったランサムウェア集団“麒麟”（Qilin）とは？　世界中で被害多発、カルテル結成でさらに勢力拡大も

　アサヒグループホールディングスに対するサイバー攻撃で一躍、日本でも知られるようになったランサムウェア集団「Qilin」。現在、世界で最も強い勢力を持ち、各国の企業や団体を次々と混乱に陥れて巨額を稼ぎ出している。アサヒへの攻撃の直前には別の有力ランサムウェア集団と組んで「カルテル」の結成を発表しており、攻撃の一層の激化が懸念されている。

【その他の画像】

　Qilinは「サービスとしてのランサムウェア（RaaS）」と呼ばれる犯罪ビジネスを展開する集団で、狙った相手のデータを暗号化するランサムウェアのコードや、恐喝用のデータ暴露サイトなどのインフラを実行犯に提供して分配金を受け取っている。効率的な組織運営やリクルート活動などはビジネスそのもの。闇フォーラムにバナー広告を掲載するなど宣伝にも力を入れ、不正侵入を専業とする「イニシャルアクセスブローカー」（IAB）集団と提携するなどサービスの強化にも余念がない。

●各国の企業や団体を恐喝　最大約60億円の利益

　イスラエルのサイバーセキュリティ企業であるKELAによると、Qilinに狙われた標的は米国や欧州の大手企業から地方自治体、アフリカのNPOまで多岐にわたる。中でもアサヒのような製造業が狙われやすいのは、機密情報を扱っていながらセキュリティ対策が比較的甘く、業務の再開を急がなければならないプレッシャーが強いためと思われる。

　Qilinが2022年に登場してから25年9月21日までに犯行声明を出した件数は、KELAの推計で792件。別のサイバーセキュリティ企業である米ZeroFoxの集計では、Qilinの被害は25年7〜9月期半期だけで少なくとも227件と、RaaS集団の中で最も多かった（ちなみに2位は「Akira」の136件）。被害額は1件当たり600万〜4000万ドル（9億〜60億円）とされ、24年6月に被害に遭った英国の医療関連会社Synnovisは5000万ドルを要求されたという。

　Qilinの名称は中国に伝わる神獣「麒麟」に由来するとサイバーセキュリティ企業の米Qualysは推測する。22年の登場以来、これまでに25カ国以上で攻撃に関与しているといい、当初は中国軍や北朝鮮などの国家が関与する集団も顧客としてQilinのサービスを利用していたとの情報もある。

●ランサムウェア3集団が提携、原発攻撃の恐れも

　サイバーセキュリティ企業の米ReliaQuestは、Qilinが有力ランサムウェア集団の「LockBit」および「DragonForce」と手を組んで、25年9月3日にカルテルの結成を発表したと伝えた。各集団の手口やリソース、インフラを共有することで、ランサムウェアビジネスの運営能力を強化して攻撃の頻度や効率の向上を狙う。

　この提携によって重要インフラに対する攻撃が急増したり、これまではリスクが低いと思われていた業界にとっての危険が増大したりする恐れがあるとReliaQuestは分析。原子力発電所のような施設が標的にされる可能性もあると指摘した。

　Qilinと手を組んだLockBitは、24年2月に欧州刑事警察機構（ユーロポール）や米連邦捜査局（FBI）など各国の捜査機関が連携して摘発した集団。主要メンバーが逮捕されてインフラが差し押さえられ、首謀者とされる男も指名手配されている。

　この影響でLockBitはしばらく鳴りを潜めていたが、Qilinとの提携を発表した25年9月3日に新バージョンのランサムウェアサービス「LockBit 5.0」を公開し、復活を印象付けた。

　LockBitは2020年にも別のランサムウェア集団「Maze」と手を組んだことがある。この提携は、被害者のデータ暗号化に加え、盗んだデータを公開すると脅して身代金の支払いを迫る二重恐喝の手口に結び付いた。

●攻撃を見越した対策の徹底を

　Qilinの攻撃には脆弱性の悪用や、フィッシング詐欺、盗まれたログイン情報の利用といった巧妙な手口が利用される。ランサムウェアはWindowsやLinux、ESXiの各環境に対応できる。そうした攻撃に対し、組織はどう備えるべきなのか。

　「攻撃される以前から、インシデント対応計画の立案とテストを行い、ランサムウェア活動の隔離と分離、確実なバックアップなどの対策を徹底させておくことが不可欠」とQualysはいう。

　その上で「ランサムウェアに攻撃されれば、立ち止まって態勢を立て直す時間はほとんどない。経営陣は状況が見通せない中で厳しい判断を迅速に下せるよう、態勢を整えておく必要がある」と指摘している。