1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ハッカー集団・脅威アクターに関する動向
  5. ランサムウェアグループに関する動向
  6. ランサムウェア グループ Qilinがいすゞ自動車へのサイバー攻撃を主張も実際はタイの販売代理店「ISUZU ANDAMAN SALES CO., LTD.」への攻撃

ランサムウェア グループ Qilinがいすゞ自動車へのサイバー攻撃を主張も実際はタイの販売代理店「ISUZU ANDAMAN SALES CO., LTD.」への攻撃

セキュリティニュース

投稿日時: 更新日時:

ランサムウェア グループ Qilinがいすゞ自動車へのサイバー攻撃を主張も実際はタイの販売代理店「ISUZU ANDAMAN SALES CO., LTD.」への攻撃

2026年6月8日、ランサムウェア グループ Qilinダークウェブ上のリークサイトで「ISUZU MOTORS」と掲載しました。

当メディアはこの声明が公開された直後からQilinのリークサイトを監視しており、掲載された文書の内容を独自に取得・分析しました。

その結果、Qilinが「ISUZU MOTORS」の名義で主張している一方で、実際に漏洩したと見られる文書はタイのISUZU正規販売代理店「บริษัท อีซูซุอันดามันเซลล์ จำกัด(ISUZU ANDAMAN SALES CO., LTD.)」の業務データであることが確認されました。

同社はタイ南部パンガー県タクアトゥン郡に所在するISUZUの正規ディーラーです。漏洩文書には2022年付の車両登録データ・在庫管理データが含まれており、顧客情報の一部も含まれていることが確認されました。

なお今回の事案を起こしたQilinは、2025年9月にアサヒグループホールディングスに対してランサムウェア攻撃を行い、業績への長期的な影響をもたらしたグループと同一です。本記事では当メディアが独自に取得したスクリーンショットをもとに、Qilinの主張の実態と情報漏洩の分析結果を報告します。

サマリー

  • 2026年6月8日:Qilinがダークウェブのリークサイトに「ISUZU MOTORS」を掲載。カテゴリ:Manufacturing。公開後に閲覧数が851から4,826へ急増、掲載写真数も0枚→12枚に増加(当メディア取得スクリーンショット確認)
  • リークサイト記載のドメイン:isuzu.co.th(タイISUZU法人のウェブサイト)
  • 【当メディア独自分析】漏洩文書は「ISUZU ANDAMAN SALES CO., LTD.」(บริษัท อีซูซุอันดามันเซลล์ จำกัด)からのデータ——タイ南部パンガー県タクアトゥン郡所在のISUZU正規販売代理店
  • 漏洩文書の内容:車両在庫管理レポート(2022年2月付)・車両登録状況移動レポート(2022年12月付)。車両識別番号(シャシーナンバー)・エンジン番号・顧客氏名・予約番号・金額情報を含む
  • Qilinの手口:子会社・販売代理店を侵害しつつ、知名度の高い親ブランドの名称で声明を発出する二重の戦略の可能性——恐喝効果を最大化する典型的な手法
  • ISUZU Motors(日本本社)への影響:現時点で公式声明なし。恐らく日本への影響は発生していない可能性が高い
  • Qilinの背景:2022年10月より活動。累計被害主張数1,888社超。RaaS(Ransomware as a Service)モデル。アサヒグループHD攻撃(2025年9月)と同一グループ

当メディアが確認した漏洩文書の分析

セキュリティ対策LabがQilinのダークウェブリークサイトを監視した結果、2026年6月8日に「ISUZU MOTORS」のエントリーが公開されたことを確認しました。

漏洩文書が示す実態——「ISUZU ANDAMAN SALES CO., LTD.」

当メディアがQilinのリークサイトから取得した漏洩文書のヘッダーには、以下の情報が明記されています。

会社情報(文書記載):

  • タイ語表記:บริษัท อีซูซุอันดามันเซลล์ จำกัด
  • 英語表記:ISUZU ANDAMAN SALES CO., LTD.
  • 住所:88-89/1 หมู่ 4, ถนนเทพกษัตริย์, ตำบลโคกกลอย อ.ตะกั่วทุ่ง จ.พังงา 82000(タイ南部パンガー県)

この会社はタイ本土南部パンガー(Phang Nga)県を営業区域とするISUZUの正規販売代理店です。

Qilinが声明で主張している「ISUZU MOTORS」——いすゞ自動車株式会社(東京都品川区、東証プライム上場)や、その完全子会社に当たる「อีซูซุมอเตอร์ส (ประเทศไทย) จำกัด(Isuzu Motors Co., Ltd., Thailand)」とは法人格が異なる独立した正規販売代理店です。

漏洩データの内容

当メディアが確認した漏洩文書の内容は以下のとおりです。個人情報の詳細は掲載を控えます。

文書1:車両在庫管理レポート(2022年2月28日付)

  • 内容:「เกาะแก้ว(コーカーオ)支店」の仮ナンバー車両の在庫レポート
  • 含まれる情報の種類:支店名・登録番号・都道府県・数量・使用開始日・在庫状況
  • 合計:13台(39,000バーツ相当)
  • 同文書の「ON USED」セクション:顧客情報(顧客名・シャシー番号・エンジン番号・ボディタイプ・金額・日付)を含む

文書2:車両登録状況移動レポート(2022年12月28日付)

  • 内容:全支店の車両登録状況移動レポート
  • 含まれる情報の種類:受注番号・受領番号・受領日付・エンジン番号・シャシー番号・顧客氏名・金額
  • 対象期間:2022年2月〜8月の取引データ

いずれの文書も2022年の業務データであり、タイ南部の販売代理店の日常的な車両販売・登録業務に関わるものです。

ランサムウェアグループが「ブランド名を水増し」する典型手法

今回の事案で注目すべきは、Qilinのリークサイトが「ISUZU MOTORS」という大企業名を使いながら、実際に公開したと見られる文書は地方の販売代理店のものであるという乖離です。

この手法はランサムウェアグループが恐喝効果を最大化するために用いる典型的な戦略として、脅威インテリジェンス研究者の間で広く認知されています。仕組みは以下のとおりです。

  1. 攻撃対象の選定:グローバルブランドの正規ディーラー・代理店・サプライヤーなど、ブランド名を使用しつつも独立した法人格を持つ組織
  2. データ窃取:代理店の業務システムからデータを窃取(より小規模で防御が手薄な場合が多い)
  3. 声明発出:親会社・ブランドの名前で「〇〇社を攻撃した」と声明
  4. 効果:世界的に知名度の高いブランド名によってメディア露出が増大し、恐喝圧力が高まる

今回のケースでは、Qilinのリークサイトが参照したドメインが「isuzu.co.th」(タイISUZU法人のウェブサイト)であるため、タイのISUZU関連ネットワークへのアクセスが出発点になった可能性があります。

ただし、漏洩文書がISUZU ANDAMAN SALESという地方代理店のものであることから、以下の3つのシナリオが考えられます。

シナリオA(代理店単独侵害):Qilinが地方販売代理店のシステムを個別に侵害し、代理店のデータを窃取した上で「ISUZU MOTORS」という認知度の高いブランド名で声明を出した

シナリオB(ネットワーク経由の波及):ISUZU Thailand(いすゞタイ法人)の販売管理システムや代理店接続ネットワークへの侵害を足がかりとして代理店データにアクセスした

シナリオC(複数拠点の同時侵害):ISUZU Thailandの本体システムと代理店システムの両方が侵害されており、今回はサンプルとして代理店データを公開している

ただし、日本本社への影響は非常に低いと思われます。

Qilinランサムウェアグループの概要

DeXpose・SOCRadarの分析によれば、Qilinは2022年7月から活動を開始し、累計被害主張数は1,888社超に達しています。

主要な特徴:

RaaS(Ransomware as a Service)モデル:コアチームがランサムウェアと漏洩インフラを開発・維持し、アフィリエイト(提携攻撃者)が独立して標的を侵害・交渉します。このためアフィリエイトごとに侵入手法や標的選定の傾向が異なります。

ダブルエクストーション:データを暗号化すると同時にデータを外部に窃取し、「身代金を払わなければデータをリークサイトで公開する」という二重の脅迫を行います。

初期侵入手法:Citalidの分析によれば、Qilinの主な初期アクセス手法は「漏洩した認証情報」の悪用です。インフォスティーラー(情報窃取マルウェア)のログやInitial Access Broker(初期アクセスブローカー)から購入した認証情報を利用して企業ネットワークに侵入します。また、Googleの認証情報窃取・Windows Subsystem for Linuxの悪用(EDR回避)・VPN認証情報のハーベスティングが観測されています。

日本との関係:当サイト既報の通り、Qilinは2025年9月にアサヒグループホールディングスを攻撃し、30工場のオフライン化・ビール飲料の物流停止・1,900万件超の個人情報流出可能性という深刻な被害をもたらしました。今回のISUZU関連の事案はQilinが日本の主要ブランドおよびその海外関連会社・代理店を継続的に標的にしていることを示しています。

関連:ランサムウェア グループ Qilin(キリン、キーリン)とは手口・国内被害一覧・対策

日本の企業が展開する「海外代理店リスク」

日本の製造業・自動車メーカー・機械メーカーの多くは、タイ・インドネシア・ベトナム・インドなど東南アジアに多数の正規代理店・販売子会社を展開しています。これらの組織は:

  • 本社の販売管理システムと接続している場合がある(受注・在庫・顧客管理)
  • 現地のIT管理体制が本社より手薄な場合が多い
  • 漏洩した場合に「○○(日本の有名ブランド)が攻撃された」という形でメディアに取り上げられる

情報システム・セキュリティ担当者が今すぐ確認すべき対応として以下が挙げられます。

①海外代理店・販売店のネットワーク接続の棚卸し:本社の販売管理・ERPシステムにどの海外代理店が接続しているかを確認し、接続経路のVPNや認証状況を点検する。

②代理店向けのアカウント管理の見直し:海外代理店スタッフが使用する本社システムへのアカウントについて、多要素認証(MFA)の適用・不要なアカウントの削除・アクセス権限の最小化を実施する。

③インフォスティーラー感染リスクの把握:Qilinの主な初期侵入経路は認証情報の窃取です。自社の代理店スタッフが使用するデバイスに感染したインフォスティーラーによって本社接続用の認証情報が漏洩するリスクを認識する。

④ダークウェブモニタリングの実施:自社ブランド・代理店のドメイン・主要担当者のメールアドレスが脅威インテリジェンスプラットフォームやダークウェブで言及されていないかを定期的に監視する。

関連記事

WordPressテーマ「Motors」に深刻な脆弱性、22,000サイトが乗っ取りの危機に(CVE-2025-4322)WordPressテーマ「Motors」に深刻な脆弱性、22,000サイトが乗っ取りの危機に(CVE-2025-4322) サイバーエージェント運営「ドットマネー」が不正アクセスで全サービス停止サイバーエージェント 運営「ドットマネー」が不正アクセスで全サービス停止 Google、Chromeの脆弱性を修正-V8 ゼロデイ 脆弱性 「CVE-2026-11645」が実際にサイバー攻撃に悪用中Google、Chromeの脆弱性を修正-V8 ゼロデイ 脆弱性 「CVE-2026-11645」が実際にサイバー攻撃に悪用中 ランサムウェアグループ Qilinがオオサキメディカルへの不正アクセスによるサイバー攻撃を主張ランサムウェアグループ Qilinがオオサキメディカルへの不正アクセスによるサイバー攻撃を主張 ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)ランサムウェア グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577) ランサムウェア グループ「エベレスト」がアンダーアーマーへのサイバー攻撃を主張ランサムウェア グループ「エベレスト」がアンダーアーマーへのサイバー攻撃を主張 ランサムウェア 攻撃 グループ「Qilin」が光精工への不正アクセスと情報窃取を主張ランサムウェア 攻撃 グループ Qilinが原田工業へ不正アクセスと情報窃取を主張 Veeam Backup & Replicationを狙うランサムウェア攻撃が発生Veeam Backup & Replicationを狙うランサムウェア攻撃が発生 マツダ、ハッカー グループ Clop(Cl0p)のサイバー攻撃は影響なし-Oracle EBSの脆弱性を悪用かマツダ、ハッカー グループ Clop(Cl0p)のサイバー攻撃は影響なし-Oracle EBSの脆弱性を悪用か