Qilinランサムウェアグループの2025年における活動状況
今回はQilinランサムウェアによるサイバー攻撃手法とその対策にせまる解説記事の第3回目です。今回はQilinランサムウエアグループの直近の活動状況について調査してみました。
第1回目と2回目も記事をまだお読みでない場合は、以下にリンクを張っておきましたので是非ご覧ください。
第1回目「QilinランサムウェアによるアサヒGHDへのサイバー攻撃 ~脅威グループの手法と対策」
第2回目「QilinランサムウェアによるアサヒGHDへのサイバー攻撃 ~Qilinランサムウェアグループの実態」
では、さっそくはじめていきましょう!
Qilinランサムウェアによるアサヒグループホールディングス攻撃:詳細レポート
アサヒグループホールディングスへのサイバー攻撃の概要
今回、日本でも大々的に報道されたQilinによる大規模なランサムウエア攻撃ですが、まだよくわからないよという人の為に、ここで簡単なおさらいをしておきます。
2025年9月29日午前7時頃、日本を代表する飲料メーカーであるアサヒグループホールディングス(以下、アサヒGHD)は、大規模なランサムウェア攻撃を受け、国内の業務システムが完全に停止する重大なインシデントに見舞われました。
攻撃発覚直後、アサヒGHDは顧客および取引先の重要データ保護を最優先事項とし、被害の拡大を防ぐため即座にシステムの遮断措置を実施しました。
この迅速な判断により、さらなる被害の連鎖は阻止されましたが、国内グループ各社における飲料・食品の受注、出荷業務、そして顧客サポートを担うコールセンター業務など、広範囲にわたる事業運営に深刻な影響が及びました。
同社は同日中に捜査当局へ報告し、社内に緊急事態対策本部を設置。外部のサイバーセキュリティ専門家と連携しながら、攻撃の詳細調査と復旧作業を開始しました。
10月2日には一部の生産ラインが再開されましたが、完全復旧には相当の時間を要する状況となっています。
というのが、現在までの状況です。
Qilinによる犯行声明と被害状況
攻撃から約1週間後の2025年10月7日、ロシア語圏を拠点とするとみられるランサムウェアグループ「Qilin(キリン)」が、ダークウェブ上の自らのデータリークサイト(DLS)において犯行声明を発表しました。
ロイターなどの大手メディアは、その文章の信ぴょう性を確認できていないとしたうえで、Qilinは犯行声明の中で、アサヒGHDから約27ギガバイト、9,300ファイル以上の機密データを窃取したと主張したと報じています。
流出したとされるデータの内容は以下の通りです。
- 財務関連文書:予算書、財務諸表、会計資料
- 契約書類:取引先との契約書、合意書
- 従業員情報:個人情報、従業員の写真付きID、人事関連データ
- 経営戦略資料:事業計画、開発予測、内部報告書
- 請求書・取引記録:各種請求書、取引履歴
攻撃の証拠として、Qilinは29枚のスクリーンショット画像を公開しており、その中には内部財務文書、従業員の身分証明書、機密性の高い契約書、そしてオーストラリア・メルボルンを拠点とするアサヒの従業員に関する詳細情報も含まれていることが確認されています。
10月9日、アサヒGHDはQilinが主張する盗難データの一部がインターネット上に公開されたことを確認し、事実上、Qilinの犯行を認める形となりました。同社は引き続き、データ流出の範囲と影響について詳細な調査を進めているとしています。
現時点では、Qilinが身代金の要求額を公表したか、またアサヒGHDが交渉に応じたかどうかについての情報は明らかになっていません。しかし、データが公開されたという事実は、身代金の支払いが行われなかった、あるいは交渉が決裂した可能性を示唆しています。
2025年10月14日には、GHDは自社のホームページ上で「サイバー攻撃によるシステム障害発生 について (第4報) ※外部リンク」を公開し、その中で「個人情報が流出した可能性」のあることを発表しました。
Qilinの活動状況
2025年第3四半期における攻撃件数(227件で最多)
2025年第3四半期(7月~9月)において、Qilinランサムウェアグループは、すべてのランサムウェアグループの中で最も多くの攻撃を実行したことが確認されています。
ZeroFoxが発表した「Q3 2025 Ransomware Roundup ※外部リンク」レポートによると、Qilinは第3四半期だけで227件の攻撃に責任を負っており、他のすべてのランサムウェアグループを大きく上回る攻撃数を記録しました。
この数字は、第3四半期全体で観測された1,429件のランサムウェアおよびデジタル恐喝インシデントの約15.9%を占めています。
出典:
- ZeroFox「Q3 2025 Ransomware Wrap-Up」
https://www.zerofox.com/intelligence/q3-2025-ransomware-wrap-up/ ※外部リンク - Infosecurity Magazine「Qilin Ransomware Gang Claims Asahi Cyber-Attack」
https://www.infosecurity-magazine.com/news/qilin-ransomware-asahi-cyber-attack/ ※外部リンク
この227件という数字は、第2位のAkira、第3位のINC Ransomと比較しても圧倒的な差をつけており、Qilinが現在最も活発かつ脅威的なランサムウェアグループであることを明確に示しています。
ZeroFoxの調査によれば、Qilin、Akira、INC Ransom、Play、SafePayの上位5グループ合わせて、第3四半期の全攻撃の約47%を占めており、ランサムウェア脅威の集中化が進んでいることがわかります。
また、第3四半期の攻撃総数1,429件は、第1四半期の1,961件と比較すると減少傾向にあるように見えますが、これは主に法執行機関によるLockBitやRansomHubなどの大規模グループへの取り締まりの影響とみるべきでしょう。
Qilinはこの状況を逆手に取り、これらのグループのアフィリエイトを吸収することで、むしろ攻撃能力を強化しているという情報もあります。
年間を通して見ると、2025年1月から9月までに記録されたランサムウェア攻撃は5,186件に達しており、2024年の同時期(3,810件)と比較して36%の増加を示しています。この増加傾向の中で、Qilinは最も急成長しているグループの一つとして注目されています。
出典:
- Comparitech「Ransomware roundup: Q3 2025」
https://www.comparitech.com/news/ransomware-roundup-q3-2025/ ※外部リンク
8月単月でランサムウェア攻撃の16%を占める活動量
2025年8月は、Qilinにとって特に活発な月となりました。NCC Groupの月次脅威レポートによると、Qilinは8月だけで全世界のランサムウェア攻撃の16%を占め、単月での活動量としても最も活発な脅威グループとなりました。
出典:
- NCC Group月次レポート(NCC Group Monthly Threat Pulse – Review of August 2025)
https://www.nccgroup.com/newsroom/ncc-group-monthly-threat-pulse-review-of-august-2025/ ※外部リンク - digit.fyi「Qilin emerges as 2025’s most active ransomware threat」
https://www.digit.fyi/qilin-ransomware-attack/
この16%という数字は、単一のランサムウェアグループとしては異例の高い割合です。
通常、ランサムウェアエコシステムは複数のグループに分散しており、一つのグループが市場の10%以上を占めることは極めて稀です。
Qilinがこれほどの割合を占めたという事実は、以下の要因によるものと考えられます。
- 法執行機関の取り締まりによる競合の弱体化
2025年2月のOperation CronosによるLockBitへの国際的取り締まり、そして6月のRansomHubのDragonForce Ransomware Cartelによる乗っ取りにより、これらの大手グループの活動が制限されました。その結果、これらのグループに所属していたアフィリエイトの多くがQilinに移籍し、攻撃能力が強化されました。 - 効率的なRaaSモデル
Qilinの寛大な収益配分モデル(アフィリエイトが80~85%を獲得)は、優秀なアフィリエイトを引きつける強力なインセンティブとなっています。 - 技術的な洗練度
Qilinのランサムウェアは、複数のプラットフォーム(Windows、Linux、VMware ESXi)に対応しており、企業の複雑なIT環境全体を標的にできる能力を持っています。 - ターゲティング戦略の最適化
Qilinは、医療機関、教育機関、製造業など、身代金の支払い能力が高く、かつダウンタイムの影響が甚大な業種を戦略的に標的としています。
8月の活動量の急増は、日本企業への攻撃にも反映されています。後述しますが、Qilinは8月にNissan Creative BoxとOsaki Medicalの2社への攻撃を実行しており、日本市場への進出を加速させています。
日本国内での確認済み攻撃(4件)
Qilinは2025年に入り、日本を重要な標的市場の一つとして位置づけ、積極的な攻撃を展開しています。
Comparitechの調査によると、Qilinは2025年中に日本企業に対して4件の確認済み攻撃を実行しており、これはアサヒグループホールディングスへの攻撃を含む深刻な脅威となっています。
出典:
- Comparitech(CNN Business、Infosecurity Magazine、Industrial Cyberにて引用)
- https://www.cnn.com/2025/10/08/business/japan-asahi-cyberattack-readiness-intl-hnk ※外部リンク
- https://www.infosecurity-magazine.com/news/qilin-ransomware-asahi-cyber-attack/ ※外部リンク
- https://industrialcyber.co/ransomware/qilin-hackers-claim-responsibility-for-asahi-cyberattack-allege-theft-of-27-gb-of-data-amid-ongoing-investigation/ ※外部リンク
2025年の日本国内における確認済み攻撃
- Shinko Plastics(新興プラスチックス) – 2025年6月
プラスチック製造業者への攻撃。Qilinが最初に日本市場に本格的に進出した事例とされています。 - Nissan Creative Box(日産クリエイティブボックス) – 2025年8月
自動車関連企業への攻撃。日産自動車グループの関連会社が標的となりました。 - Osaki Medical(オオサキメディカル) – 2025年8月
医療機器・サービス企業への攻撃。Qilinが特に注力している医療セクターへの攻撃の一環です。 - Asahi Group Holdings(アサヒグループホールディングス) – 2025年9月
日本最大級の飲料メーカーへの攻撃。これまでの日本での攻撃の中で最も規模が大きく、影響範囲も広いケースとなりました。
日本への攻撃の特徴と背景
日本への攻撃が増加している背景には、複数の要因が考えられます。
- 経済規模と支払い能力
日本企業は一般的に財務的に安定しており、事業継続性を重視する傾向があるため、身代金の支払いに応じる可能性が高いと犯罪者に認識されています。 - サイバーセキュリティ対策の遅れ
日本企業の多くは、欧米企業と比較してサイバーセキュリティ投資が遅れており、特にランサムウェアに対する準備が不足していることが指摘されています。Cisco Talosの調査によると、2025年上半期だけでも日本ではランサムウェア攻撃が40%増加しており、月平均11件の攻撃が確認されています。
- レピュテーションリスクへの敏感さ
日本企業は社会的信用を極めて重視する傾向があり、データ漏洩による評判の低下を恐れるため、公にせずに身代金を支払うケースが多いと推測されています。 - 言語的・文化的バリアの低さ
Qilinは多言語対応の身代金メッセージを提供しており、日本語でのコミュニケーションも可能です。これにより、日本企業との交渉が容易になっています。
比較的視点:日本はアジア太平洋地域の主要標的
Qilinの攻撃は日本に限定されず、アジア太平洋地域全体で活発化しています。
日本の4件という数字は、アジア太平洋地域における攻撃の中でも目立つ存在ですが、Qilinの主要な標的は依然として北米とヨーロッパです。
しかし、2025年に入ってからの日本への集中的な攻撃は、Qilinがアジア市場への進出を戦略的に進めていることを示唆しています。
特に注目すべきは、6月のShinko Plasticsへの攻撃以降、わずか3ヶ月間で4件の攻撃が確認されているという事実です。
これは、Qilinが日本市場での攻撃手法を確立し、成功体験を重ねながら、より大規模な標的へと移行していることを示しています。アサヒグループホールディングスへの攻撃は、この戦略の頂点とも言える事例であり、今後も日本の大手企業が標的となる可能性が高いと予測されます。
日本の政府機関やセキュリティコミュニティは、この急速な攻撃増加に対して警戒を強めており、企業に対してランサムウェア対策の強化を呼びかけています。しかし、多くの企業では依然として対策が不十分であり、Qilinを含むランサムウェアグループにとって日本は「魅力的な標的市場」として認識され続けているのが現状なのです。
解説記事「Qilinランサムウェアグループの2025年における活動状況」の続きは
現在準備中です。
公開までお待ちください。
APPSWINGBYは、最先端の技術の活用と、お客様のビジネスに最適な形で実装する専門知識を有しております。システムのセキュリティ対策としてのシステムアーキテクチャの再設計からソースコードに潜むセキュリティ脆弱性の改修の他、リファクタリング、リアーキテクチャ、DevOps環境の構築、ハイブリッドクラウド環境の構築、テクノロジーコンサルティングサービスなど提供しています。
貴社のセキュリティ対策等についてご相談されたい方は、お問い合わせフォームからお気軽にご連絡ください。システムの専門家が、貴社の課題解決をサポートいたします。
システム開発にお困りではありませんか?
もしも今現在、
- どのように開発を依頼したらよいかわからない
- どのように開発を依頼したらよいかわからない
- 企画や要件定義の段階から依頼できるのか知りたい
- システム開発費用がどれくらいかかるのか知りたい
- 見積りがほしい
など、システム開発に関するご相談・ご依頼がございましたら、お気軽にご相談ください。APPSWINGBYでは、「アプリでお客様のビジネスを加速し、お客様とともにビジネスの成功と未来を形作ること」をミッションとしています。大手SIerやR&D部門で培った経験やノウハウ、高度な技術力でお客様の「やりたい」を実現します。
この記事を書いた人
株式会社APPSWINGBY マーケティング
APPSWINGBY(アップスイングバイ)は、アプリケーション開発事業を通して、お客様のビジネスの加速に貢献することを目指すITソリューションを提供する会社です。
ご支援業種
情報・通信、医療、製造、金融(銀行・証券・保険・決済)、メディア、流通・EC・運輸 など多数
株式会社APPSWINGBY マーケティング
APPSWINGBY(アップスイングバイ)は、アプリケーション開発事業を通して、お客様のビジネスの加速に貢献することを目指すITソリューションを提供する会社です。
ご支援業種
情報・通信、医療、製造、金融(銀行・証券・保険・決済)、メディア、流通・EC・運輸 など多数
監修
株式会社APPSWINGBY CTO 川嶋秀一
動画系スタートアップや東証プライム上場企業のR&D部門を経て、2019年5月より株式会社APPSWINGBY 取締役兼CTO。
Webシステム開発からアプリ開発、AI導入、リアーキテクチャ、リファクタリングプロジェクトまで幅広く携わる。
C, C++, C#, JavaScript, TypeScript, Go, Python, PHP, Java などに精通し、Vue.js, React, Angular, Flutterを活用した開発経験を持つ。
特にGoのシンプルさと高パフォーマンスを好み、マイクロサービス開発やリファクタリングに強みを持つ。
「レガシーと最新技術の橋渡し」をテーマに、エンジニアリングを通じて事業の成長を支えることに情熱を注いでいる。
株式会社APPSWINGBY CTO 川嶋秀一
動画系スタートアップや東証プライム上場企業のR&D部門を経て、2019年5月より株式会社APPSWINGBY 取締役兼CTO。
Webシステム開発からアプリ開発、AI導入、リアーキテクチャ、リファクタリングプロジェクトまで幅広く携わる。
C, C++, C#, JavaScript, TypeScript, Go, Python, PHP, Java などに精通し、Vue.js, React, Angular, Flutterを活用した開発経験を持つ。
特にGoのシンプルさと高パフォーマンスを好み、マイクロサービス開発やリファクタリングに強みを持つ。
「レガシーと最新技術の橋渡し」をテーマに、エンジニアリングを通じて事業の成長を支えることに情熱を注いでいる。
