Qilin(Agenda)ランサムウェアの特徴と対処法を徹底解説 

コラム Qilinランサムウェア

Qilin(Agenda)ランサムウェアは、2022年に発見されたランサムウェアで、世界中の医療機関や教育機関などに感染し、ファイルデータの暗号化や情報漏洩被害などをもたらしています。

本稿では、Qilinランサムウェアの特徴と、感染時の対策について詳しく解説します。

本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。
おすすめのランサムウェア感染調査会社はこちら >
目次

Qilinランサムウェアの特徴

Qilinランサムウェアは、2022年8月に「Agenda」として活動を開始したランサムウェア・アズ・ア・サービス(RaaS)を採用する脅威グループによって運営されています。

ここではQilinランサムウェアについて感染被害や特徴について解説します。

Qilinランサムウェアの特徴は以下の通りです。

  • Qilinランサムウェアに感染するとどうなるか
  • Qilinランサムウェアの開発言語

Qilinランサムウェアに感染するとどうなるか

Qilinランサムウェアに感染した端末のファイルは拡張子が「.MmXReVIxLV」に変更されます。そしてパソコンの画面に「README-RECOVER-MmXReVIxLV.txt」というファイルが表示されます。

このファイルの中身は脅迫文です。ファイルを暗号化し、情報を盗んだことが書かれ、仮想通貨で身代金を支払わなければ、犯人が運営するサイト上に盗んだ個人情報を公開するといったが記載されています。

Qilinランサムウェアの開発言語

QilinランサムウェアはLinux、FreeBSD、そしてVMware ESXiサーバーなどで実行されます。

開発言語は、はじめGoベースで開発されていましたが、2022年12月にRustに切り替えられました。開発言語が変更されたことにより、Qilinはセキュリティーツールの無効化機能や、仮想マシンの暗号化と、スナップショットを削除する機能が備わりました。

出典:BLEEPING COMPUTER

Qilinランサムウェアの感染経路

Qilinランサムウェアの主な感染経路は以下の通りです。

  • パッチが適用されていない脆弱性
  • 不正なコンテンツのダウンロード
  • セキュリティが不十分なRDP
  • フィッシングメール

パッチが適用されていない脆弱性

Qilinの攻撃者は、特にVPNサーバーの脆弱性を狙う傾向があります。侵入の手口は、多要素認証(MFA)が設定されていない脆弱なVPNサーバーを経由して、ネットワークに初期アクセスを取得するというものです。

不正なコンテンツのダウンロード

Qilinの攻撃者は、正規のソフトウェアに見せかけた悪意のあるプログラムを配布することがあります。これらのプログラムは、ユーザーが気づかないうちにランサムウェアをインストールする可能性があります。

セキュリティが不十分なRDP

Qilinの攻撃者は、弱いパスワードや最新のOSでないRDPソフトウェ(リモートデスクトッププロトコル)RDP接続を探し出し、これを利用してネットワークに侵入します。

アクセス権限が適切に設定されていない場合や、ログなどを適切に記録できない場合なども、侵入されやすいので注意しましょう。

フィッシングメール

フィッシングメールもQilinランサムウェアの感染経路の一つです。

正規の企業や組織からの連絡を装った偽のメールを送信し、添付されたファイルやリンクをクリック・インストールすることで、Qilinがシステムにインストールされます。

フィッシングメールのリンクやソフトウェアをクリックさせるために、上役からの緊急の業務連絡や取引先企業などからの重要な請求書などを装うこともあります。

Qilinランサムウェアの感染事例

ここではQilinランサムウェアの最新の感染事例として、2024年のイギリスの医療機関「Synnovis」におけるQilinランサムウェア感染について紹介します。

英病理検査機関であるSynnovisが6月3日にランサムウェア攻撃を受け、血液検査に必要なシステムの停止と、患者データの内、約400GBの個人情報がQilinが運営するリークサイト上で公開されたと発表しました。

公開された情報の中には患者の名前、生年月日、NHS番号(イギリス国民保健サービス番号10桁)、血液検査の説明などが含まれているとのことです。

このQilinランサムウェア感染により3,000件以上の病院で予約や手術が中断されました。

同年9月19日に大部分のシステムの復旧が完了したことをSynnovisが発表しています。

なお、調査は引き続き継続しており、国家犯罪対策庁 (NCA)、国立サイバー セキュリティ センター (NCSC)、および技術専門家らの支援を受けて調査を実施しているとのことです。

出典:BBS

出典:Synnovis

Qilinランサムウェアの対処法

Qilinランサムウェアに感染した場合、適切な対応をとることで被害を最小限に抑えられます。感染した場合の具体的な対処法とデータ復旧の手順について説明します。

  • 感染端末の隔離
  • バックアップからの復元
  • 専門機関に相談する

感染端末の隔離

ランサムウェア感染が疑われる場合、感染が拡大しないよう即座にネットワークから切断し、他の端末への感染を防ぎます。また、ネットワークのトラフィックを監視し、異常がないか確認します。

バックアップからの復元

感染前にオフラインバックアップを作成していた場合、それを利用してデータを復元することができます。ただし、復元する前にシステムが安全な状態であることを確認する必要があります。

専門機関へ報告する

Qilinランサムウェアの感染が確認された場合、ログなどを持参して最寄りの警察署やサイバー犯罪相談窓口に被害を相談しましょう。感染拡大を止める方法やログ取得方法などについてアドバイスをもらうこともできます。

一方で、警察は犯人逮捕が目的となります。社内のセキュリティ強化や、個人情報保護委員会へ情報漏洩の報告が必要となった場合などは、詳細なランサムウェア感染調査を専門家に任せることが望ましいです。

専門家に相談すると、ランサムウェア感染によって漏洩した情報や感染経路の調査、場合によっては暗号化したファイルの復旧などが可能なところもあります。

編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)

こちらの業者は、対応件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。

まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

費用★見積り無料 まずはご相談ください
調査対象PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービスハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など
特長✓累積ご相談件数39,000件以上

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。

規模が大きな調査会社でありながら、ハッキング調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。

相談・見積りを無料で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。

↓調査項目・プラン・料金などは公式サイトへ↓

デジタルデータフォレンジックに相談する >

Qilinランサムウェアの予防策

Qilinランサムウェア感染を予防するには、常にセキュリティ対策の強化や、万が一の感染に備えたバックアップの用意が重要です。

Qilinランサムウェア感染に有効な予防策は以下の通りです。

  • アカウントのパスワードを強力なものに再設定する
  • アカウントの権限を制限する
  • 定期的にバックアップを取得する

アカウントのパスワードを強力なものに再設定する

強力なパスワードの使用と二要素認証の導入は、Qilinランサムウェアの感染リスクを大幅に低減させる重要な対策です。パスワードは、大文字、小文字、数字、特殊文字を組み合わせた12文字以上の複雑なものを使用し、各アカウントで異なるパスワードを設定してください。

さらに、多要素認証(MFA)を有効にすることで、パスワードが漏洩しても不正アクセスを防ぐことができます。特に管理者アカウントや重要なシステムへのアクセスには、生体認証やハードウェアキーなどの強力な認証方法を採用することが推奨されます。

アカウントの権限を制限する

最小権限の原則に基づいたアカウント権限の制限は、Qilinの被害を最小限に抑えるための重要な対策です。各ユーザーに必要最小限の権限のみを付与し、特に管理者権限の使用を厳しく制限してください。

特に管理者レベル以上のアカウントには時間ベースのアクセス制限を導入し、不要な特権の常時使用を避けます。さらに、重要なシステムへのアクセスには専用のアカウントを使用し、一般社員用のアカウントと分離することが効果的です。

定期的にバックアップを取得する

定期的なバックアップの取得は、Qilinランサムウェアによるデータ喪失のリスクを大幅に軽減する重要な対策です。バックアップは、ネットワークから物理的に切り離された外部ストレージやクラウドサービスに保存し、定期的に更新してください。

またバックアップデータの整合性と復元可能性を定期的にテストし、緊急時に迅速に復旧できるよう準備しておきましょう。

まとめ

Qilinランサムウェアに感染したら、身代金の支払いはせず、すぐにネットワーク切断を遮断して、不正アクセスと他端末への感染拡大を防止し、警察や専門家に相談しましょう。

Qilinランサムウェアに感染した時点で、感染端末からの情報は漏洩していることが多いため、漏洩した情報を特定するためには、ランサムウェア感染調査の専門家に詳細に調査してもらうことをおすすめします。

おすすめランサムウェア調査会社はこちら >
Qilinランサムウェア
最新情報をチェックしよう!