1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ハッカー集団・脅威アクターに関する動向
  5. ランサムウェアグループに関する動向
  6. ランサムウェア グループ Qilin(キリン、キーリン)とは手口・国内被害一覧・対策【随時更新】

ランサムウェア グループ Qilin(キリン、キーリン)とは手口・国内被害一覧・対策【随時更新】

セキュリティニュース

投稿日時: 更新日時:

ランサムウェア グループ Qilin(キリン)とは

2022年に登場したランサムウェアグループQilin(キリン・キーリン)は、2025年にリークサイトへの掲載件数で世界最多を記録し、2026年に入ってもさらに活動を拡大しています。国内でも穴吹ハウジングサービス(約49.6万件)・アサヒグループホールディングス・日産子会社・サカタのタネ米子会社など多数の企業が被害を受けております

製造業・医療・行政・不動産など業種を問わない無差別な攻撃が特徴であり、日本は特に標的になりやすい状況が続いています。本記事ではQilinの概要・手口・国内被害一覧・対策を解説します。

ランサムウェア グループ Qilin(キリン、キーリン)

QilinはRaaS(Ransomware-as-a-Service)型のランサムウェアグループです。中国神話の霊獣「麒麟(キリン)」を名称に冠していますが、実態はロシア語圏を拠点とするサイバー犯罪組織とみられています。ランサムウェアのコアとなるツール・インフラを開発・管理するオペレーター(コアグループ)と、実際の侵入・攻撃を担うアフィリエイト(加盟業者)に役割が分かれており、身代金収益をオペレーターとアフィリエイトで分配する構造をとっています。

2022年7月〜8月にRamp・XSSといったロシア語圏のハッキングフォーラムで「Agenda」ランサムウェアとして初確認されました。2022年9月にQilinにブランド名を変更し、Go言語からRust言語へのコード刷新を行っています。2023年2月からはRaaSとして本格稼働し、独立したダークウェブリークサイトを立ち上げました。

Qilinの活動規模——2025年に世界最多、2026年も拡大継続

Qilinは2025年に世界最多のランサムウェアグループとなりました。2025年にはリークサイトに1,000件超の被害者を掲載し、2025年下半期は月40件超のペースで増加しました。2026年に入っても増加傾向は続いており、1月だけで55件の新規掲載が確認されています。

この急成長の背景の一つは、2025年3月にランサムウェアグループRansomHubが突然運営を停止したことです。RansomHubは2024年の被害件数2位のグループでしたが、その崩壊に伴い多くのアフィリエイトがQilinに流入し、攻撃能力と件数の両面で急増しました。

標的の業種別では**製造業が最多で約23%**を占め、次いで医療・行政・テクノロジーが続きます。国別ではアメリカが最多ですが、日本を含むアジアへの攻撃も増加傾向にあります。

Cisco Talosのレポートによれば、2025年上半期に日本で確認されたランサムウェア被害は68件と前年同期(48件)から約1.4倍に増加しており、業種別では製造業が最多で、国内で最も活動が目立ったランサムウェアグループはQilinとされています。

Qilinの手口—ダブルエクストーション(二重恐喝)

Qilinは「暗号化」と「データ窃取・公開脅迫」を組み合わせたダブルエクストーション(二重恐喝)を採用しています。

侵入から攻撃完了までの流れは以下の通りです。まず初期侵入として、VPN脆弱性(FortiGate・Citrix等)・フィッシングメール・クレデンシャルスタッフィング(漏洩した認証情報の使い回し)・RDP(リモートデスクトッププロトコル)の弱点を悪用して社内ネットワークに侵入します。次に侵入後の横移動として、SmokeLoader・NETXLOADER等のマルウェアローダーを使って横移動し、認証情報のダンプ・バックアップの削除・セキュリティソフトの無効化を行います。データ窃取として、暗号化の前に機密データを攻撃者のサーバーへ窃取します。暗号化として、Rustベースのランサムウェアを展開してファイルを暗号化し、各フォルダに身代金要求ノート([ランダム文字列]-RECOVER.txt)を配置します。恐喝として、ダークウェブのリークサイトにデータサンプルを公開し、一定期間内に身代金を支払わなければデータを全公開すると脅します。

このダブルエクストーションは心理的圧力として極めて効果的です。暗号化されたファイルを復元できたとしても、窃取されたデータの公開を阻止するには身代金を支払うしか手段がないためです。

Qilinは2024年に改良版「Qilin.B」を登場させており、暗号化アルゴリズムの強化(AES-256-CTR・RSA-4096)とセキュリティツールの検知回避能力の向上が確認されています。また感染したランサムウェアにはロシア語等の東欧言語が設定されている端末では実行されないように設計されたキルスイッチが確認されており、拠点地域を意図的に除外する東欧圏のサイバー犯罪グループの典型的な特徴を持っています。

Qilinによる国内の被害事例一覧(2025〜2026年)

東山産業株式会社(2026年4月)

2026年3月10日に自社サーバーへの不正アクセスとランサムウェア被害を公表。3月18日の続報でシステム復旧中であることが報告されており、その後Qilinが犯行声明を掲載しました。

東山産業へのサイバー攻撃をランサムウェアグループQilinが犯行声明

穴吹ハウジングサービス株式会社(2026年3月・約49.6万件)

2026年2月3日にランサムウェア攻撃を確認。3月9日付の第4報で、攻撃者(Qilin)が公開したデータに同社関連情報が含まれることを確認。漏洩のおそれがある個人情報は約49.6万件に上ります。

穴吹ハウジングサービス、サイバー攻撃で約49.6万人分の個人情報漏洩の恐れ

穴吹興産株式会社(2026年4月)

穴吹ハウジングサービスと同じ穴吹グループの穴吹興産でも2026年2月3日に確認したランサムウェア被害の続報として、2026年4月3日にデータ漏洩の可能性が否定できないと公表。Qilinが犯行声明を掲載しています。

穴吹興産、ランサムウェアで顧客や役職者等の個人情報漏洩の恐れ

サカタのタネ 米子会社(2026年2月)

2026年2月13日、サカタのタネが米国連結子会社Sakata America Holding Company, Inc.のサーバーへのサイバー攻撃を公表。その後Qilinが犯行声明を掲載しました。

サカタのタネ、米子会社がサイバー攻撃の被害、Qilinが犯行声明

エネサンスホールディングス株式会社(2025年11月)

2025年10月21日に発生したシステム障害について、外部専門家の調査によりランサムウェア被害であることを確認。Qilinが犯行声明を掲載しました。

エネサンスホールディングスにサイバー攻撃——Qilinが犯行声明

スーパーバリュー(OICグループ)(2025年11月)

2025年10月20日、Qilinがロピア等を運営するOICグループの食品スーパー「スーパーバリュー」への攻撃を主張。

Qilinが食品スーパー「スーパーバリュー」へ攻撃を主張

アサヒグループホールディングス(2025年10月・27GB)

  • 公表日:2025年10月7日
  • Qilin主張の窃取データ:27GB
  • 漏洩内容(Qilin主張):財務書類・予算・契約書・従業員の個人情報・経営計画・開発予測

アサヒグループホールディングスへのサイバー攻撃、Qilinが主張

日産子会社 株式会社クリエイティブボックス(2025年8月・4TB)

  • 公表日:2025年8月20日
  • Qilin主張の窃取データ:4TB
  • 漏洩内容(Qilin主張):3Dデザインデータ・レポート・写真・動画・日産自動車に関する各種文書

日産子会社へQilinが不正アクセスによるサイバー攻撃を主張

丸菱ホールディングス(2025年8月・353GB)

  • 公表時期:2025年8月
  • Qilin主張の窃取データ:353GB
  • 漏洩内容(Qilin主張):履歴書・外国人労働者の在留カード情報・交通費書類・検査表

新興プラスチックス・医療法人DIC 宇都宮セントラルクリニック・原田工業・光精工・長崎船舶装備(2025年)

いずれもQilinがリークサイトへの掲載により攻撃を主張。業種を問わない無差別な標的選定の実態を示しています。

Qilinによる海外の主要攻撃事例

英国ロンドン医療機関(Synnovis)(2024年6月):英国国民医療サービス(NHS)の血液検査委託会社Synnova(旧Viapath)を攻撃し、ロンドン市内主要病院の血液検査システムが最大3か月以上停止。輸血不能・手術延期が相次ぎ、2025年に患者の死亡との関連が確認されました。Qilinは5,000万ドルの身代金を要求し、交渉決裂後に約400GBのデータを公開しました。

ドイツ民主社会主義政党 Die Linke(2026年4月):3月27日にネットワーク侵害を確認。Qilinが1.5TBのデータを窃取したと主張し、内部通信・職員の個人情報が含まれるとしています。党はドイツ当局に届け出て法的措置と調査を進めており、ハイブリッド戦争の一環である可能性も指摘されています。

対策——製造業・中堅・中小企業が特に注意すべき点

Qilinの主な侵入経路はVPN機器の脆弱性・フィッシングメールによる認証情報窃取・RDPの不正接続です。以下の対策が最優先となります。

VPN・リモートアクセス機器のパッチ管理として、FortiGate・Citrix・Pulse Secureなどの境界機器の脆弱性パッチを最優先で適用してください。CISA KEVカタログに掲載された脆弱性は攻撃グループによる悪用が確認されているため、公表後できる限り早期の適用が求められます。

多要素認証(MFA)の全アカウント適用として、VPN・リモートデスクトップ・クラウドサービスへのログインに多要素認証を必須化してください。認証情報が漏洩・窃取されても、MFAがあれば不正ログインを大幅に抑止できます。

バックアップの隔離保管として、ランサムウェアはバックアップも積極的に削除・暗号化します。オフラインまたはネットワーク非接続のバックアップを別媒体・別環境に保管し、定期的な復旧テストを行ってください。

エンドポイント検知・対応(EDR)の導入として、Qilinが使用するSmokeLoader・NETXLOADER等のローダーマルウェアの早期検知にEDRが有効です。また異常なVPN接続(複数国からの同一アカウントログイン等)をリアルタイムで監視するSIEM・ログ監視の体制整備も重要です。

従業員へのフィッシング訓練として、Qilinはフィッシングメールによる初期侵入も多用します。定期的な訓練と「不審なメール・URLは開かない」という習慣の徹底が不可欠です。

よくある質問(FAQ)

Q. Qilinとはどういう組織ですか? ロシア語圏を拠点とするとみられるRaaS型ランサムウェアグループです。2022年に登場し、2025年に世界最多の攻撃件数を記録しました。独自のリークサイトでデータを公開し、身代金支払いを迫るダブルエクストーション手法が特徴です。

Q. 身代金を払えばデータは返ってきますか? 支払っても復号ツールが提供される保証はなく、一度窃取されたデータが本当に削除されるかも確認できません。多くのセキュリティ機関は身代金の支払いを推奨していません。

Q. Qilinは日本を特に狙っていますか? Qilinは特定の国を重点的に狙っているわけではありませんが、製造業への攻撃比率が高く、日本の製造業は特にリスクが高い状況にあります。2025年に日本国内でQilinが最も活動が目立ったランサムウェアグループとされており、引き続き警戒が必要です。

参考情報

関連記事

【2026年】サイバー攻撃・情報漏洩の最新 事例【2026年】サイバー攻撃・情報漏洩の最新 事例 穴吹興産、ランサムウェアによるサイバー攻撃で個人情報漏洩の恐れ-関連会社の穴吹ハウジングサービスでは約49.6万人分に穴吹興産、ランサムウェアによるサイバー攻撃で個人情報漏洩の恐れ-関連会社の穴吹ハウジングサービスでは約49.6万人分が漏洩の恐れ ランサムウェアグループ Qilinが食品スーパー「スーパーバリュー」へ不正アクセスによるサイバー攻撃を主張ランサムウェア グループ Qilinが食品スーパー「スーパーバリュー」へ不正アクセスによるサイバー攻撃を主張 ロンドンの医療機関「Synnovis 」を狙ったランサムウェアグループ「Qilin」の概要94/ロンドンの医療機関「Synnovis 」を狙ったランサムウェアグループ「Qilin」の概要 大日本印刷の海外子会社CMIC CMO USAへ不正アクセス、ランサムウェアグループ Qilin がサイバー攻撃を主張大日本印刷の海外子会社CMIC CMO USAへ不正アクセス、ランサムウェアグループ Qilin がサイバー攻撃を主張 穴吹興産、ランサムウェアで顧客や役職者等の個人情報漏洩の恐れ、Qilinが犯行を主張穴吹興産、ランサムウェアで顧客や役職者等の個人情報漏洩の恐れ、Qilinが犯行を主張 穴吹ハウジングサービス、サイバー攻撃で約21万件のファイル流出を確認-穴吹興産の漏えい事案とも関連穴吹ハウジングサービス、サイバー攻撃で約21万件のファイル流出を確認-穴吹興産の漏えい事案とも関連 穴吹ハウジングサービス、サイバー攻撃で約49.6万人分の個人情報漏洩の恐れ-ランサムウェア グループQilinが犯行声明穴吹ハウジングサービス、サイバー攻撃で約49.6万人分の個人情報漏洩の恐れ-ランサムウェア グループQilinが犯行声明 Qilinのアサヒへのサイバー攻撃の犯行声明アサヒグループホールディングスへのサイバー攻撃、ランサムウェア グループ Qilinが不正アクセスを主張