第三世代RaaS 攻撃グループ「Qilin(キリン)」とは?
脅威の実態と多層防御による対策ポイント
近年、ランサムウェア攻撃は単なるマルウェア感染にとどまらず、「組織化された犯罪ビジネス」へと進化しています。
その代表例が、2022年以降に台頭した第三世代RaaS(Ransomware as a Service)運営グループ「Qilin(キリン)」です。Qilinは、世界各国の企業や団体を標的に攻撃を拡大しており、日本国内でも被害報告が増加しています。
本記事では、Qilinの脅威の実態から攻撃手法、企業が実践すべき多層防御のポイントまでを詳しく解説します。
Qilinとは - 組織化されたRaaS型攻撃グループ
Qilinは、ランサムウェア攻撃を「サービス化」して提供するRaaS(Ransomware as a Service)モデルを採用した攻撃グループです。開発チームがランサムウェアや管理ツールを用意し、参加するアフィリエイト(攻撃実行者)がそれを利用して攻撃を行い、得た身代金を分配するという仕組みです。
特徴的なのは、単にデータを暗号化するだけでなく、窃取した機密情報を公開すると脅す「二重恐喝(Double Extortion)」を行う点。この手法により、企業は「事業停止」と「情報漏えい」という二重のリスクに直面します。
攻撃の流れ - フィッシングから恐喝までの一連のプロセス
Qilinの攻撃は、単発的ではなく段階的かつ計画的に行われます。その一般的な流れは以下のとおりです。
1. 初期侵入
フィッシングメール、脆弱なVPN機器、公開サーバーなどを足がかりに社内ネットワークへ侵入。
2. 権限昇格と横展開
Cobalt Strikeなどの攻撃ツールを用い、管理者権限を奪取しながら内部システムへ拡散。
3. 情報窃取と暗号化
重要データを外部に持ち出した上で暗号化。業務を停止させ、復旧不能な状況を作り出す。
4. 恐喝・交渉
「盗んだ情報を公開する」と脅し、身代金の支払いを要求。交渉用の専用ポータルを用意するケースも。
このように、感染後の展開スピードが速く、従来のアンチウイルス対策だけでは防御が難しいのが実情です。
単一対策では防げない - 攻撃キルチェーン全体を見据えた多層防御を
QilinのようなRaaS型攻撃に対しては、「侵入を防ぐ」だけでなく、侵入されても被害を最小限にとどめる“多層防御”が不可欠です。セキュリティを「点」ではなく「面」で捉えることで、攻撃の各段階に対抗できます。
推奨される多層防御のポイント
- 迅速なパッチ適用と脆弱性管理の徹底
VPNや公開サーバーの脆弱性を放置しない - 多要素認証(MFA)の全面導入
侵入経路となるアカウント乗っ取りを防止 - EDR/SIEMによるリアルタイム監視
不審な挙動を即座に検知・遮断 - オフラインバックアップの確保
万一の暗号化被害からの復旧を可能に - 従業員へのセキュリティ教育の継続
フィッシングや誘導リンクの識別スキルを強化
まとめ - “感染しない”ではなく、“被害を抑える”戦略へ
QilinをはじめとするRaaS攻撃は、今後も多様化・高度化が続くとみられます。もはや「感染しないようにする」だけでは十分ではなく、侵入を前提とした防御体制の構築が求められます。
ホワイトペーパー公開中
アクトでは、Qilinの攻撃手法や、多層防御の具体的な実践方法をまとめたホワイトペーパーを無料で公開しています。
ご用命の方は、以下よりダウンロードください。
