Qilinランサムウェアの攻撃手法を徹底解析:アサヒグループ事件から学ぶサイバー対策の必須ポイント

2025年10月26日、Cisco Talosがランサムウェアグループ「Qilin(キリン)」の詳細な攻撃手法を公表しました。アサヒグループホールディングスへの攻撃で一躍有名になったこのグループですが、その手口は想像以上に巧妙で組織的です。

現役のフォレンジックアナリストとして数多くのランサムウェア事件を調査してきた経験から言えば、Qilinの攻撃は「教科書通りの完璧な侵入から暗号化まで」を実現している極めて危険な存在です。今回の記事では、この脅威の実態と具体的な対策について詳しく解説していきます。

  1. Qilinランサムウェアの被害規模と標的傾向
  2. 初期侵入:VPNとRDPの脆弱性を狙い撃ち
    1. 1. 漏洩した管理者資格情報の悪用
    2. 2. ブルートフォース攻撃
  3. 内部偵察:システム構成の完全把握
    1. ドメイン情報の収集
    2. ネットワーク探索
  4. 資格情報窃取:多層防御を突破する高度な手法
    1. 使用されるツール群
    2. 「!light.bat」の動作解析
    3. 対象となるアプリケーション
  5. データ窃取:効率的な機密情報の外部流出
    1. データ整形と送信
    2. 大容量データの窃取
  6. 持続性確保:システムの完全掌握
    1. 管理権限の確保
    2. リモート操作ツールの導入
  7. 防御システムの無効化:EDRとの攻防
    1. AMSI無効化
    2. EDR対策
  8. C2通信:Cobalt StrikeとSystemBCの巧妙な連携
    1. 多段階ペイロード展開
    2. サンドボックス回避
  9. 仮想化環境への攻撃:復旧能力の完全破壊
    1. vCenter攻撃
    2. 復旧妨害
  10. ランサムウェア展開:二重構成による確実な暗号化
    1. 暗号化の実行方式
    2. 設定の特徴
  11. 身代金要求:被害者への心理的圧迫
    1. ランサムノートの特徴
    2. 視覚的圧迫
  12. 永続化:再感染の確実化
    1. タスクスケジューラ悪用
  13. 効果的な対策:フォレンジック専門家が推奨する防御戦略
    1. 1. アクセス制御の強化
    2. 2. ネットワーク監視の強化
    3. 3. エンドポイント保護
    4. 4. バックアップ戦略
    5. 5. 早期検知システム
  14. 中小企業向けの現実的な対策
    1. 1. 基本対策の徹底
    2. 2. 外部サービスの活用
    3. 3. インシデント対応計画
  15. まとめ:Qilin対策は今すぐ実施を
  16. 一次情報または関連リンク

Qilinランサムウェアの被害規模と標的傾向

2025年後半のデータを見ると、Qilinグループの活動は異常なほど活発化しています。月間40件を超える被害を継続的に発生させ、6月には100件、8月にもほぼ同水準の攻撃を実行しました。

被害国の傾向:

  • 米国が最多
  • カナダ、英国、フランス、ドイツが続く
  • 日本も標的だが、特定の脆弱性を狙った無差別攻撃

狙われやすい業界:

  • 製造業(約23%)- 最も狙われやすい
  • 専門・科学サービス(約18%)
  • 卸売業(約10%)
  • 医療、建設、小売、教育、金融(各5%前後)

私が調査した事例でも、製造業の被害が特に深刻でした。ある中小製造業では、生産管理システムが完全に暗号化され、3週間の操業停止を余儀なくされました。復旧費用だけで2億円を超えるケースもあります。

初期侵入:VPNとRDPの脆弱性を狙い撃ち

Qilinの初期侵入手法は非常にシンプルですが効果的です。Cisco Talosの調査では、以下のパターンが確認されています:

1. 漏洩した管理者資格情報の悪用

攻撃者はダークウェブで販売されている企業の認証情報を購入し、それらを使ってVPNへの侵入を試みます。多要素認証(MFA)が設定されていないVPNが主な標的となります。

2. ブルートフォース攻撃

短時間で大量の認証試行を実行し、弱いパスワードを使用しているアカウントを特定します。成功すると、すぐにRDPでドメインコントローラや初期侵害端末へ到達します。

内部偵察:システム構成の完全把握

侵入後の偵察活動も体系的に実施されます:

ドメイン情報の収集

  • nltest /dclist:<Domain> – ドメインコントローラの特定
  • net user <Username> /domain – ユーザー情報の取得
  • whoami /priv – 現在の権限確認
  • tasklist – 実行中プロセスの把握

ネットワーク探索

netscanによるホスト・共有探索を実行し、横展開の経路と暗号化対象の優先順位を決定します。

実際の調査事例では、攻撃者は侵入から24時間以内にドメイン全体の構成を完全に把握していました。この速さが、防御側の対応を困難にしている要因の一つです。

資格情報窃取:多層防御を突破する高度な手法

Qilinグループの資格情報窃取技術は極めて洗練されています:

使用されるツール群

  • Mimikatz – メモリからパスワード抽出
  • NirSoftツール群 – 各種パスワード回復ユーティリティ
  • SharpDecryptPwd – 保存された認証情報の一括抽出
  • カスタムスクリプト – 環境固有の情報収集

「!light.bat」の動作解析

このバッチファイルは以下の処理を自動実行します:

  1. WDigestのUseLogonCredentialを1に変更(平文パスワードのメモリ保持)
  2. NirSoft系ツールの順次実行
  3. BypassCredGuard.exeによる保護機能の無効化
  4. SharpDecryptPwdでの一括情報抽出

対象となるアプリケーション

SharpDecryptPwdは以下のアプリケーションから保存認証情報を抽出します:

  • WinSCP, Navicat, Xmanager
  • TeamViewer, FileZilla, Foxmail
  • TortoiseSVN, Chrome, RDCMan
  • SunLogin など

私が調査したある企業では、開発者が使用していたFTPクライアントの保存パスワードから、本番環境のサーバーに侵入されていました。アンチウイルスソフト 0を導入していれば、これらのツールの実行を事前に検知・阻止できた可能性があります。

データ窃取:効率的な機密情報の外部流出

収集したデータは以下の手順で外部に送信されます:

データ整形と送信

  • pars.vbsによるデータ整形
  • windows-1251エンコードでの外部SMTPサーバ送信
  • mimikatz@anti[.]pmなどのメールアドレスを使用

大容量データの窃取

  • WinRARでの圧縮(-ep1 -scul -r0 オプション使用)
  • CyberduckによるBackblazeへのアップロード
  • 分割アップロードで検知回避

正規のアプリケーション(mspaint.exe、notepad.exe、iexplore.exe)を使用した機密文書の閲覧も確認されており、異常な通信を検知するネットワーク監視システムでも発見が困難です。

持続性確保:システムの完全掌握

管理権限の確保

  • レジストリでRDP接続拒否を解除(fDenyTSConnections=0)
  • 準備したアカウントをAdministratorsグループに追加
  • net share c=c:\ /grant:everyone,fullでCドライブ全体を共有化

リモート操作ツールの導入

以下のような正規のリモート操作ツールを悪用:

  • AnyDesk, Chrome Remote Desktop
  • Distant Desktop, GoToDesk
  • QuickAssist, ScreenConnect

防御システムの無効化:EDRとの攻防

Qilinグループは企業のセキュリティ製品を無力化する高度な技術を持っています:

AMSI無効化

  • 難読化されたPowerShellで反射APIを使用
  • ServerCertificateValidationCallbackの差し替えでTLS検証停止

EDR対策

  • セキュリティサービスの停止・アンインストール試行
  • dark-killをカーネルドライバとして登録・起動
  • mshta経由での昇格バッチ実行

実際の事件では、企業が導入していたEDR製品が攻撃開始から30分以内に無効化されていました。このような状況を防ぐためには、アンチウイルスソフト 0のような自己防御機能を持つセキュリティソリューションの導入が重要です。

C2通信:Cobalt StrikeとSystemBCの巧妙な連携

多段階ペイロード展開

  • .bssセクションに暗号化ペイロードを格納
  • 独自RC4変種で段階的復号
  • スレッドプールAPIでメモリ上ビーコン起動

サンドボックス回避

  • MessageBoxAによるクリック待ち挙動
  • Malleable C2でHost: ocsp.verisign.comを装った通信
  • 443/TCPでTeam Serverと通信

仮想化環境への攻撃:復旧能力の完全破壊

Qilinの最も恐ろしい特徴の一つが、仮想化インフラへの直接攻撃です:

vCenter攻撃

  • vCenterに接続してHA/DRSを無効化
  • ESXiのrootパスワード変更とSSH有効化
  • /tmpへペイロード配布・実行

復旧妨害

  • vssadmin Delete Shadows /all /quietでスナップショット削除
  • シンボリックリンク追従の有効化で暗号化範囲拡大

私が調査したある企業では、VMware vSphere環境全体が暗号化され、バックアップも同時に破壊されました。復旧に3ヶ月を要し、事業継続に深刻な影響が発生しました。

ランサムウェア展開:二重構成による確実な暗号化

暗号化の実行方式

  • encryptor_1.exeをPsExecで各ホストに配布
  • encryptor_2.exeを単一点からネットワーク共有へ拡散
  • ADモジュールで全ホスト名を抽出
  • イベントログの一括消去

設定の特徴

暗号化設定には以下が含まれます:

  • 対象・除外拡張子の詳細指定
  • 終了対象プロセスとサービス
  • 被害環境固有のドメインと認証情報
  • CSV配下(Hyper-VやDB格納領域)の直接暗号化

身代金要求:被害者への心理的圧迫

ランサムノートの特徴

  • 各フォルダにランサムノート作成
  • .onionリークサイトとIPアドレス代替URLの併記
  • 企業固有IDのファイル拡張子付与
  • 専用ログインIDとパスワードで誘導

視覚的圧迫

壁紙を%TEMP%のJPGに置換し、被害を視覚的に強制通知します。

永続化:再感染の確実化

タスクスケジューラ悪用

  • 「TVInstallRestore」をONLOGONで登録
  • TeamViewerインストーラ風にファイル名偽装
  • Runキーへの同時登録で二重保険

効果的な対策:フォレンジック専門家が推奨する防御戦略

1. アクセス制御の強化

  • MFAの常時適用 – 全VPNアクセスに必須
  • リモートアクセスの最小化 – 必要最小限の接続のみ許可
  • 権限分離 – 管理者権限の厳格な制限

VPN 0の導入により、VPN接続時の追加認証レイヤーを構築することで、初期侵入のリスクを大幅に軽減できます。

2. ネットワーク監視の強化

  • vCenter/ESXiの閉域化 – 管理ネットワークの分離
  • 通信ベースライン固定 – 異常通信の即座検知
  • Backblaze等クラウド宛て新規通信の監査

3. エンドポイント保護

  • EDRの自己防御・アンインストール保護
  • PowerShellとWDigest設定の継続監査
  • RMM新規導入の検知

4. バックアップ戦略

  • 改ざん耐性のあるオフライン併用バックアップ
  • 3-2-1ルールの徹底実施
  • 定期的な復旧テストの実施

5. 早期検知システム

  • vssadmin Delete Shadows監視
  • EventLogSession.ClearLog()の監視
  • SMTP大量送信の検知
  • Cyberduck由来の外向き転送履歴点検

中小企業向けの現実的な対策

大企業並みのセキュリティ投資が困難な中小企業でも実施可能な対策:

1. 基本対策の徹底

  • アンチウイルスソフト 0の導入による多層防御
  • 定期的なセキュリティ更新の自動化
  • 従業員向けセキュリティ教育の実施

2. 外部サービスの活用

3. インシデント対応計画

  • 攻撃発生時の連絡体制構築
  • 重要データの優先順位付け
  • 事業継続計画の策定

まとめ:Qilin対策は今すぐ実施を

Qilinランサムウェアグループの攻撃手法は、現在のサイバー攻撃の最高水準に達しています。初期侵入から最終的な暗号化まで、すべての段階で高度な技術と綿密な計画性を見せています。

特に注目すべきは、正規ツールの悪用による検知回避と、仮想化インフラを含む復旧能力の完全破壊です。従来の「感染したら復旧する」という前提が通用しない状況になっています。

現役のフォレンジックアナリストとして断言しますが、予防こそが最良の対策です。Qilinのような高度な攻撃に対しては、多層防御による予防的セキュリティが不可欠です。

今回紹介した対策を参考に、自社のセキュリティ体制を見直してください。特に、アンチウイルスソフト 0による基本的な保護と、VPN 0によるリモートアクセスの安全化は、投資対効果の高い対策として強く推奨します。

サイバー攻撃は「もし」ではなく「いつ」の問題です。Qilinのような脅威に備えるために、今すぐ行動を開始しましょう。

一次情報または関連リンク

Uncovering Qilin attack methods exposed through multiple cases

タイトルとURLをコピーしました