1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. ランサムウェア グループ Qilin(キリン)のサイバー攻撃 手法や実像

ランサムウェア グループ Qilin(キリン)のサイバー攻撃 手法や実像

セキュリティニュース

投稿日時: 更新日時:

ランサムウェア グループ Qilin(キリン)のサイバー攻撃 手法や実像

2025年10月26日、Cisco Talos はアサヒグループホールディングスへのサイバー攻撃で有名になったランサムウェアグループ Qilin(キリン)のサイバー攻撃の手法や実像をレポートとして公表しています。

概要

2025年後半、ランサムウェアグループ「Qilin」は自らのリークサイトで月に40件を超える被害情報の掲載を続けました。

6月には100件に達し、8月にもほぼ同水準の件数が記録されています。被害国は米国が最多で、カナダ、英国、フランス、ドイツが続きました。

産業別では製造業が約23%と突出し、専門・科学サービスが約18%、卸売が約10%を占め、医療、建設、小売、教育、金融がそれぞれおおむね5%前後で推移しました。
攻撃スクリプトの一部には windows-1251(キリル)エンコードの指定が残り、東欧またはロシア語圏の関与を示唆しますが、決定的な帰属証拠とは言えません。

なおアサヒグループホールディングスへのサイバー攻撃の関与でセンセーショナルに報じられていますが、 Qilin(キリン)は日本を標的に攻撃しているわけではなく、特定の脆弱性や機器を狙って攻撃している事に注意が必要です。

初期侵入の実態-多要素認証未設定のVPNへアクセス

Cisco Talosの調査事例では、特定の明確な手法があるわけではありませんが、いくつかの事例では洩した管理者資格情報が悪用され、多要素認証(MFA)未設定のVPNに短時間で多数の認証試行が集中し、成功後にRDPでドメインコントローラや初期侵害端末へ到達していました。

資格情報の外部露出とリモートアクセス設定の脆弱さが重なった環境で侵入が成立し、侵入経路の確定に至らないケースでも、時間相関と操作痕跡が一貫して観測されています。

偵察と内部探索

内部侵入後、攻撃者は nltest /dclist:<Domain>net user <Username> /domain によってドメイン構成とユーザー情報を把握し、whoami /privtasklist で権限と稼働プロセスを確認しました。

さらに netscan によるホスト・共有探索を行い、得た情報を基に横展開経路や暗号化対象の優先順位を決めています。

資格情報の奪取の流れ

Talosが調査したケースでは、パスワードで保護されたフォルダに、認証情報の窃取を目的としたと思われるツール群が含まれていました。アーカイブのせいですべてのファイルを完全に検査することはできませんでしたが、その内容から、mimikatz、NirSoftが公開した複数のパスワード回復ユーティリティ、そしてカスタムスクリプトファイルが使用されていることが示唆されます。

例えば「!light.bat」バッチファイルはWDigestの UseLogonCredential を1に変更して平文資格情報をメモリ保持させ、NirSoft系ツール、BypassCredGuard.exeSharpDecryptPwd を順次実行しました。

SharpDecryptPwdではWinSCP、Navicat、Xmanager、TeamViewer、FileZilla、Foxmail、TortoiseSVN、Chrome、RDCMan、SunLoginなどから保存資格情報を一括抽出し、

最終的にMimikatzがイベントログ消去、SeDebugPrivilege の有効化、ChromeのSQLiteからの保存パスワード抽出、過去ログオン情報の復旧、RDP/SSH/Citrix関連の情報収集まで実施しました。

窃取データの整理と送信

収集データは pars.vbs により整形され、windows-1251 を明示したエンコードで外部SMTPサーバへ送信されました。宛先には mimikatz@anti[.]pm などが用いられ、送信前にはディレクトリ構造やファイル種別に応じた整頓が行われ、外部搬出時の効率化と痕跡最小化が図られていました。

データ持ち出しの実装

WinRARは -ep1 -scul -r0 などのオプションでパス格納や再帰動作を制御し、アーカイブ作成後の持ち出しにはOSSのCyberduckが使用されました。

履歴からBackblaze宛ての送信先と分割(マルチパート)アップロード設定が確認され、標準アプリの mspaint.exenotepad.exeiexplore.exe が機密文書の閲覧に使われ、正規プロセスを装った選別が実施されていました。

横展開と権限昇格

レジストリでRDP接続拒否を解除し(fDenyTSConnections=0)、準備したアカウントをAdministratorsグループへ追加して恒常的な管理権限を確保しました。

net share c=c:\ /grant:everyone,full によりCドライブ全体を共有化し、共有経由の横展開を容易にしています。遠隔操作はAnyDesk、Chrome Remote Desktop、Distant Desktop、GoToDesk、QuickAssist、ScreenConnectなどが用いられ、ScreenConnectのログから8880/TCPでのC2接続が確認されました。

防御回避(PowerShellとEDR妨害)

難読化されたPowerShellは反射APIでAMSIを無効化し、ServerCertificateValidationCallback の差し替えでTLS検証を停止しました。

Restricted Adminの有効化によりNTハッシュやKerberosチケットでのなりすましが可能となり、EDRに対してはサービス停止・アンインストール試行に加え、dark-kill をカーネルドライバとして登録・起動する手法や、mshta 経由で昇格バッチを実行してHRSwordを展開する痕跡が残っています。

C2とローダ(Cobalt Strike / SystemBC)

Cobalt StrikeとSystemBCが併用され、ローダは .bss セクションに格納した暗号化ペイロードを独自RC4変種で段階的に復号し、スレッドプールAPIを使ってメモリ上でビーコンを起動しました。

MessageBoxA によるクリック待ちの挙動がサンドボックス回避として機能し、通信はMalleable C2で Host: ocsp.verisign.com を装い、443/TCPでTeam Serverに到達していました。

暗号化の実行(2系統のエンコーダ)

単一エンコーダ運用に加え、encryptor_1.exe をPsExecでホストへ配布し、encryptor_2.exe を単一点からネットワーク共有へ拡散する二重構成が確認されました。

実行前にADモジュールを導入して Get-ADComputer -Filter * で全ホスト名を抽出し、Get-WinEvent -ListLog * と .NET API によりイベントログを一括消去しています。仮想基盤ではvCenterに接続してHA/DRSを無効化し、ESXiのrootパスワード変更とSSH有効化後に /tmp へペイロードを配布・実行しました。

バックアップ破壊とリンク設定の悪用

復旧妨害はVSSを標的とし、vssadmin Delete Shadows /all /quiet でスナップショットを削除しました。さらに fsutil behavior set SymlinkEvaluation R2R:1R2L:1 を有効化し、サーバ間やサーバからローカルへのシンボリックリンク追従を許可して暗号化到達範囲を広げ、影響を最大化しました。

ランサムノートと視覚的改変

暗号化後、各フォルダにランサムノートが作成され、Tor接続を要する .onion のリークサイトと、Tor非対応の被害者向けにIPアドレスの代替URLが併記されました。企業ごとの固有IDがファイル拡張子として付与され、ノート記載のドメインから固有のログインIDとパスワードで専用ページへ誘導されています。壁紙は %TEMP% に生成したJPGへ置換され、被害周知が視覚的に強制されました。

設定ファイルが示す標的選定

設定には暗号化の対象・除外拡張子やファイル名・ディレクトリ、終了対象プロセスとサービスに加え、被害環境固有のドメインと認証情報がハードコードされていました。extension_white_list には mdfldfvmdkbakvbk などバックアップ・DB・仮想ディスクが並び、white_symlink_subdirs には ClusterStorage が唯一指定され、CSV配下(Hyper-VやDB格納領域)の直接暗号化が狙われています。white_symlink_dirs が空なのは無限ループや二重暗号化の回避意図と整合します。

ログ生成と永続化

実行時に %TEMP% にQLOGフォルダが作成され、ThreadId({Number}).LOG として暗号化処理の詳細が保存されました。永続化はタスクスケジューラの「TVInstallRestore」をONLOGONで登録し、実行ファイル名をTeamViewerインストーラ風に偽装する方法と、Run キーへの登録を併用し、再起動や再ログオン後の再感染を確実化しました。

インフラ指標と検知状況

観測指標には regsvchst[.]comholapor67[.]top85.239.34[.]9186.106.85[.]36 が含まれ、メールアドレスでは mimikatz@anti[.]pm などが使われました。検知面ではSnort SID 65446が提供され、ClamAVでは Win.Ransomware.Qilin-10044197-0Win.Trojan.Systembc-10058229-0Win.Loader.CobaltStrike-10058228-0Win.Dropper.Mimikatz-9778171-1 が用意され、観測挙動とバイナリ特徴に紐づく形で配布されています。

総括と対策示唆

Qilinは資格情報奪取と管理プレーンの掌握を起点に、正規ツールとOS機能を選好して痕跡を薄めつつ、仮想化・クラスタ・バックアップといった復元力の要を順に無効化しています。

MFAの常時適用とリモートアクセスの最小化、vCenter/ESXi等の閉域化と通信ベースライン固定、Backblaze等クラウド宛ての新規外向き通信の監査・制限、EDRの自己防御・アンインストール保護、改ざん耐性のあるオフライン併用バックアップが直接的な封じ手になります。

併せて、PowerShellとWDigest設定の継続監査、RMM新規導入の検知、vssadmin Delete ShadowsEventLogSession.ClearLog() の監視、SMTP大量送信やCyberduck由来の外向き転送履歴の点検が、早期検知と封じ込めに有効です。

最新の脅威動向から実務に直結する対策まで、情シス・セキュリティ担当者向けのセミナー/イベント情報を厳選して掲載しています。開催形式(オンライン/現地)、対象レベル、分野別で探せます。まずは一覧からご確認ください。

出典

Uncovering Qilin attack methods exposed through multiple cases

関連記事

ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577) SonicWall VPNにゼロデイ攻撃、Akiraランサムウェアが数時間以内に展開 ― MFAを回避してドメイン支配もSonicWall VPNにゼロデイ攻撃、Akiraランサムウェアが数時間以内に展開 ― MFAを回避してドメイン支配も EDRSilencerがエンドポイントセキュリティを回避する手段に悪用EDRSilencerがエンドポイントセキュリティを回避する手段に悪用 日本の2025年ランサムウェア 被害件数は前年同期比約1.4倍、製造業が最多-台頭するQilinと新参 Kawa4096日本の2025年ランサムウェア 被害件数は前年同期比約1.4倍、製造業が最多-台頭するQilinと新参 Kawa4096 Elastic Cloud Enterpriseで高深刻度脆弱性(CVE-2025-37736)Elastic Cloud Enterpriseで高深刻度の脆弱性(CVE-2025-37736) VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085) 台湾政府の関連する研究機関へ中国のハッカー集団APT41が不正アクセス台湾政府に関連する研究機関へ中国のハッカー集団APT41が不正アクセス ランサムウェア 攻撃 グループが Google Chrome に保存された認証情報を盗むランサムウェア 攻撃 グループが Google Chrome に保存されたパスワードを盗む TikTokで「無料アクティベーション」を装うClickFix(クリックフィックス)が拡大-マルウェアをインストールさせるサイバー攻撃TikTokで「無料アクティベーション」を装うClickFix(クリックフィックス)が拡大-マルウェアをインストールさせるサイバー攻撃