Qilinというサイバー犯罪組織の実態と、企業が取るべき対策
はじめに
2022年から活動が確認されているサイバー犯罪組織「Qilin(キリン)」をご存じでしょうか。近年、日本国内の企業や自治体を狙ったランサムウェア攻撃が相次いでいますが、その中でも特に注目されているのがこのQilinです。
本記事では、Qilinの特徴や攻撃手法、そして企業としてどのような備えが必要かを整理していきます。
Qilinとは何者か
由来:中国の幻獣である麒麟からきている。ロシア背景のサイバーテログループ
活動開始:2022年5月頃から確認
主な攻撃手法:ランサムウェアによる暗号化・恐喝
使用技術:RustやGoなどの比較的新しい言語を使用
特徴:中国の匿名掲示板などを利用した組織的な活動
Qilinは、VLC、トレンドマイクロ、ウイルスバスターなどのセキュリティ企業でも監視対象となっており、企業の重要データを暗号化し、身代金を要求する手口を取ります。
近年の被害事例と傾向
Qilinによる攻撃は、主に日本企業や医療機関を中心に確認されています。
直近では、アサヒビールホールディングスへの攻撃が記憶に新しいと思います。(この影響でアサヒビールが棚からなくなるとかなんとか、、一刻も早く飲まねば笑)
被害を受けた組織では、業務停止や個人情報の漏えいといった重大な影響が出ています。
また、情報漏えいだけでなく「内部関係者への心理的攻撃」も見られることがあり、単なる技術的防御だけでなく、社員へのセキュリティ意識向上が不可欠です。
攻撃の特徴
スピアフィッシング(対象を絞ったフィッシング)を起点とする侵入方法。
二重恐喝も有名。
24時間体制の運用能力
攻撃対象の監視・侵入が継続的に行われる。
多層的な暗号化・ハッキング手法
暗号化アルゴリズムの複雑化により、復旧が困難。
RustやGo言語の使用
解析を困難にし、検知を回避しやすい構造。
企業としての対策ポイント
企業としての対策ですが、一般的なことしか書けませんすみません😢
1. 物理・ネットワークの分離
不審なLANケーブルや外部デバイスを接続しない
ネットワーク間のセグメント分離を徹底
2. 電源・バックアップ体制の強化
フェイルセーフ設計(停電・電源落下時もデータ保全)
定期的なバックアップ(オフライン環境に保存)
3. インシデント対応体制の明確化
CSIRT(シーサート)との連携強化
他部署(経営層など)との連携を重視
攻撃を受けた際の初動対応マニュアル整備
4. 早期検知と報告の文化づくり
社員が「異常に気づける」意識が最も重要。
前述のとおり、Qilinの起点は対従業員に対するフィッシング攻撃です。そのため、社員に対する定期的な教育・シミュレーションが最重要!
まとめ
Qilinの攻撃は、過去のランサムウェアと似た手法を取っています。特に起点はフィッシングなので、従業員への教育が必要不可欠です。特別な新手法は使われていないものの、組織力と継続性の高さが脅威となっています。
総括すると、企業にとって重要なのは、
日常のITリテラシー教育、システムの多層防御インシデント発生時の迅速な報告・対応これらを徹底することだと思いました。
参考文献・関連リンク
トレンドマイクロ公式ブログ
IPA(情報処理推進機構)「ランサムウェア対策特設ページ」
筆者コメント
なかなかの長文にお付き合いいただきましてありがとうございます。今回、社内SEとして働く中で、この「Qilin」についての話を聞いたので興味があって調べてみました。調べてみると日本の企業が複数攻撃を受けていることがわかりました。SEとしてセキュリティ意識を高く持ち業務に励もうと思いました。またこのように情報発信をしていくことで自己啓発につなげていければいいなと思いました。
それでは!!