Qilin(Agenda)ランサムウェアは、2022年に発見されたランサムウェアの一種です。世界中の医療機関や教育機関などに感染し、ファイルデータの暗号化や情報漏洩被害などをもたらしています。
病院を狙うランサムウェア攻撃とその対策について詳しくはこちら>
本記事では、急速に台頭した脅威「Qilin」の特徴や攻撃手口、感染時の症状、そして万が一被害に遭った際の正しい初期対応から、最も重要な予防策まで、企業のIT担当者や経営層が今押さえておくべき情報を最新動向に基づいて解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
「Qilin」ランサムウェアとは?
Qilinは、RaaS(Ransomware-as-a-Service)モデルで運営される高度なランサムウェアグループです。運営チームはロシア語圏のフォーラムを通じてアフィリエイト(攻撃実行犯)を募集し、大規模攻撃では身代金の最大85%を分配する報酬体系を提供しています。
アフィリエイト用のパネルは暗号化モードやネットワーク内拡散の設定に加え、被害者との交渉に関する法的アドバイス機能まで備えており、成熟した犯罪エコシステムを形成しています。
RaaSモデルと高額報酬による積極的なアフィリエイト募集
Qilinは、ダークウェブ上のロシア語フォーラムでアフィリエイトを積極的に募集し、大規模攻撃では85%という破格の取り分を提示しています。この戦略により、他の大手ランサムウェアグループの解散や停滞で行き場を失った経験豊富な攻撃者を多数吸収し、攻撃能力と活動規模を急速に拡大しました。
「二重恐喝」と大規模身代金要求
Qilinは暗号化と同時に機密データを窃取し、「支払わなければ情報を公開する」と脅迫する二重恐喝を常套手段としています。2024年には英国の病理検査機関Synnovis Groupを攻撃し、病院の業務を大規模に停止させるとともに、史上最高額クラスの5,000万米ドルの身代金を要求しました。
25カ国以上に及ぶ広範な標的と高度な侵入手口
Qilinは製造業、法律・専門サービス、金融サービス、医療機関など幅広い業種を狙い、25カ国以上で被害が確認されています。侵入手口は多様で、スピアフィッシング、RDP脆弱性の悪用、VPNアプライアンスや業務ソフトの重大脆弱性の悪用などを駆使します。
また、ロシアやCIS(独立国家共同体)加盟国のシステムは感染対象から除外する傾向があり、これはロシア系ランサムウェアに典型的な特徴です。
出典:gbhackers
ゼロデイ脆弱性CVE‑2024‑21762について詳しくはこちら>
ゼロデイ脆弱性CVE-2024-55591について詳しくはこちら>
Qilinランサムウェアの技術的特徴と攻撃手法
QilinはRustベースで開発されたRaaS型ランサムウェアです。高いカスタマイズ性と検知回避能力、二重恐喝を組み合わせ、短期間で被害を拡大させます。以下には主な特徴と攻撃手法を解説します。
Rust採用によるクロスプラットフォーム対応と解析回避
Qilinはプログラミング言語Rustで開発されており、Windows、Linux、VMware ESXiに対応するサンプルを生成可能です。Rustは解析が難しく、セキュリティ製品による検知回避に有効です。Qilinはダークウェブ上の独自DLS(リークサイト)に被害企業IDや流出データを掲載します。
フィッシングを起点とする初期侵入
主な侵入経路は悪意あるリンクを含むフィッシングメールです。標的がリンクをクリックすると、SmokeLoaderや.NET製のNETXLOADERを用いてネットワークに侵入し、機密データを窃取します。暗号化時には各ディレクトリに身代金メモを配置し、再起動やプロセス停止で復旧を妨害します。
高いカスタマイズ性と暗号化モード
Qilinはアフィリエイトが攻撃内容を細かく調整できます。暗号化後のファイル拡張子や、バックアップソフト・データベースなど特定プロセスの強制終了を設定可能です。
- 設定の柔軟性:暗号化後のファイル拡張子や、復旧を妨害するために強制終了させるプロセス(データベース、バックアップソフト等)を、標的の環境に合わせて自由に設定できます。
- 高速な暗号化:攻撃の効率と速度を上げるため、ファイル全体を暗号化するのではなく、ファイルの一部のみを暗号化する「部分暗号化」モードを複数搭載しています。「skip-step」や「percent」といったモードを使い分けることで、短時間で大量のファイルを人質に取ることが可能になります。
侵入経路や流出範囲の特定には、専門家によるフォレンジック調査が不可欠です。客観的な調査結果は、監督官庁への報告や顧客説明、信頼回復に向けた基盤となります。
Qilinランサムウェアの感染事例
ここでは、国内外で確認されたQilinランサムウェアの代表的な感染事例を紹介します。
国内:宇都宮セントラルクリニック(2025年2月)
2025年2月10日、宇都宮セントラルクリニックがランサムウェア攻撃を受け、最大約30万人分の患者・職員情報が流出した可能性が判明しました。記録には氏名、生年月日、住所、診療・健診情報などが含まれ、金融口座情報やマイナンバーは含まれていません。
医療ISACと健康サロンの分析では、攻撃者は国際的ハッカー集団「Qilin」とされ、痕跡を残さない難読化技術と二重脅迫型の手口を使用。報道によれば、身代金拒否後にデータがダークウェブ上で公開されたとみられます(公式確認中)。
診療・健診業務は一部制限されましたが、順次再開が進行中。警察や関係省庁に報告し、外部調査機関と連携して原因調査と再発防止策を実施しています。現時点で情報の不正利用は確認されていません。
出典:医療法人 DIC 宇都宮セントラルクリニック/一般社団法人 医療ISAC
海外:英国Synnovis(2024年6月)
2024年6月3日、英国ロンドンの病理検査機関Synnovisがランサムウェア攻撃を受け、ITシステムが停止。攻撃者Qilinは最大約400GBの機密データを窃取・公開し、患者名、生年月日、NHS番号、血液検査の説明などが含まれると報じられています。これにより3,000件以上の病院・GP予約や手術が中断しました。
9月19日時点でGPサービスは全復旧、病院サービスの大部分も再開。その後も復旧は続き、12月18日に臨床的に重要なサービスの復旧が完了し、ほぼ全てのサービスが再開しました。現在は事務系システムの復旧と、公開データの影響範囲調査が継続されています。
【2025年最新版】病院を狙うサイバー攻撃と情報漏洩の実態・リスク・対策まとめ>
Qilinランサムウェア感染後の具体的な症状
万が一、組織内のシステムがQilinに感染した場合、以下のような特徴的な症状が現れます。特に仮想化基盤が狙われた場合、その被害は計り知れません。
出典:Cyberint
カスタマイズされる拡張子とランサムノート
Qilinは拡張子をカスタマイズできるため、特定の文字列に限定されません。しかし、ファイルが暗号化され、開けなくなるという基本的な症状は同じです。同時に、暗号化された各フォルダには、身代金要求を行う「ランサムノート」が残されます。
「実際のランサムノート」画像出典:malwaretips
【要注意】ESXi環境の暗号化と事業への壊滅的影響
Qilinの最大の脅威は、企業のサーバー群を集約する仮想化基盤(VMware ESXi)を直接暗号化する能力です。一台のESXiホストが暗号化されると、その上で稼働している数十台もの仮想サーバー(ファイルサーバー、アプリケーションサーバー、データベースサーバー等)が一瞬にして全て機能不全に陥ります。
これは、個別のPCが感染するのとは比較にならない、事業継続そのものを揺るがす壊滅的な被害に直結します。
ランサムウェア本体の静的・動的解析はもちろん、メモリ上にのみ残る攻撃の痕跡や、改ざんされたレジストリ、潜伏する永続化の仕組みまでを徹底的に洗い出すには、専門家によるフォレンジック調査が不可欠です。
Qilinランサムウェア感染時の対応
兆候を確認した時点で初動が被害規模を左右します。落ち着いて、次の手順に沿って対応します。誤った操作は悪化要因になります。
ほか詳細な対応フローについて以下の記事に解説しています。
>>ランサムウェア感染時の対応フローとおすすめの調査会社を解説
ネットワークからの隔離
インシデント対応において、最も優先すべき行動は「被害拡大の防止」です。感染が疑われる端末やサーバー(特にESXiホスト)を、直ちにネットワークから物理的に切り離してください。
- 有線LANの場合:LANケーブルを抜きます。
- Wi-Fiの場合:Wi-Fi機能をオフにします。
これにより、Qilinが他のシステムへ感染を広げる「横展開」を阻止します。
証拠の保全
今後の調査や警察への届け出に備え、デジタル証拠を可能な限り保全することが重要です。
- 電源は切らない:システムのメモリ上には攻撃の痕跡が残っています。シャットダウンすると重要な証拠が失われるため、電源は入れたままにしてください。
- 操作しない:ファイルの削除や設定変更など、一切の操作を控えてください。意図せず証拠を破壊してしまう可能性があります。
身代金の支払いは厳禁
攻撃者は身代金の支払いを要求してきますが、警察庁やセキュリティ機関は、身代金を支払わないよう強く推奨しています。支払いに応じてもデータが復旧される保証はなく、犯罪組織に資金を提供する結果にしかなりません。また、「支払う企業」と認識され、将来的な再攻撃のリスクを高めます。
専門家・関係機関への報告
自社だけで解決しようとせず、速やかに外部の専門家や関係機関に連絡してください。
- 契約しているセキュリティベンダーやIT保守会社
- フォレンジック調査の専門企業
- 管轄の都道府県警察のサイバー犯罪相談窓口
- 独立行政法人情報処理推進機構(IPA)
被害状況を客観的に証明し、法的な証拠を確保するため、第三者機関によるフォレンジック調査が行われます。もし自社だけで対応した場合、その調査結果は「客観性に欠ける」と見なされ、将来の訴訟などで不利な立場に置かれる可能性があるためです。
Qilinの被害を解明するフォレンジック調査の必要性
ランサムウェア被害からの復旧は、バックアップによるデータ復元だけでは不十分です。「なぜ・どこから・どのように侵入されたのか」という根本原因を明らかにしなければ、再発のリスクを抱えたままとなります。その原因究明と対策立案に不可欠なのが、フォレンジック調査です。
フォレンジック調査でわかること
フォレンジック調査とは、システムに残されたログや操作履歴、通信痕跡を収集・解析し、攻撃の事実関係を客観的に解明する専門調査です。Qilinのような高度かつカスタマイズ性の高いランサムウェア攻撃では、以下の情報が把握できます。
- 侵入経路の特定:フィッシングメール経由でSmokeLoaderやNETXLOADERを利用した侵入か、RDPなど別の手口かを特定します。
- 被害範囲の把握:攻撃者がアクセスしたサーバー、PC、ESXiホスト、アカウントを洗い出し、影響範囲を明確にします。
- 情報漏洩の全容解明:外部に流出した個人情報・技術情報・財務情報などの種類と量を特定します。
- マルウェアの残存確認:Qilin以外のマルウェアや、将来の再攻撃を狙ったバックドアの有無を検証します。
- 法的証拠の保全:警察への通報や訴訟対応に備え、操作ログや通信履歴などの証拠データを正確な状態で保存します。
上記情報は、顧客や監督官庁への正確な報告や、再発防止策の策定に不可欠です。
フォレンジック費用はサイバー保険で補償されるのか?カバー範囲を徹底解説>
自力調査が招く「証拠汚染」のリスク
ランサムウェア被害現場は、法的に見るとサイバー空間の事件現場です。IT担当者が善意で実施する復旧や調査が、重要なデジタル証拠を損なう証拠汚染を引き起こす場合があります。
PCの再起動、ファイルのコピー、安易なスキャンツールの実行といった操作は、ファイルのタイムスタンプやログを改変し、一度失われた証拠は回復できません。この状態では警察による捜査や将来の訴訟で、法的証拠として認められない可能性が高まります。
Qilinのように高度かつ執拗な攻撃では、原因の究明と法的立場の確保のため、初期段階からフォレンジック専門家の関与が欠かせません。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
こちらの業者は、対応件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、ハッキング調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
Qilinから組織を守るための予防・防御策
これまで被害後の対応について解説してきましたが、最も重要なのは「被害を未然に防ぐ」ことです。以下の対策を多層的に講じることで、Qilinのような脅威に対する防御力を飛躍的に高めることができます。
フィッシング対策と従業員教育の徹底
Qilinの主な侵入経路はフィッシングメールです。全従業員に対して定期的なセキュリティ教育や標的型攻撃メール訓練を実施し、不審なメールへの警戒心を高めることが、最も費用対効果の高い対策の一つです。
EDRによるエンドポイント監視の強化
侵入後の内部活動や、Rustで書かれたような未知のマルウェアの不審な挙動を検知するために、PCやサーバーの挙動を常時監視する「EDR (Endpoint Detection and Response)」が有効です。
仮想化基盤(ESXi)のセキュリティ強化
企業の心臓部であるESXiホストを守ることは最重要課題です。
- ESXiホストへのアクセスを厳格に制限し、管理インターフェースを安易にインターネットへ公開しない。
- 管理者アカウントには、多要素認証(MFA)を導入する。
- VMwareからリリースされるセキュリティパッチを迅速に適用する。
バックアップ戦略の再構築(オフライン・イミュータブル)
仮想マシンを含む重要なデータは、「3-2-1ルール」に従ってバックアップを取得しましょう。特に、ネットワークから物理的に隔離されたオフラインバックアップや、データの書き換えが不可能なイミュータ-ブルバックアップは、ランサムウェア対策の最後の砦として極めて有効です。
ランサムウェアによるデータ喪失を防ぐための復旧手順を徹底解説>
まとめ
本記事では、2024年以降に台頭したランサムウェア「Qilin」について、その手口から被害の実態、そして具体的な対策を詳細に解説しました。
Qilinは、プログラミング言語Rustの採用による高い技術力と、企業の心臓部である仮想化基盤を狙う危険性を兼ね備えた、極めて深刻な脅威です。しかし、その手口を正しく理解し、フィッシング対策といった人的な防御から、EDRやESXiの要塞化といった技術的な防御まで、多層的な対策を講じることで、被害に遭うリスクを大幅に低減させることができます。
自社のセキュリティ対策を今一度点検し、「もしも」の事態に備えたインシデント対応計画を準備しておくことが、事業継続を守る上で不可欠です。