QilinランサムウェアによるアサヒGHDへのサイバー攻撃 ~Qilinランサムウェアグループの実態
アサヒビールがランサムウエアによるサイバー攻撃が大々的に報じられましたので、「QilinランサムウェアによるアサヒGHDへのサイバー攻撃 ~脅威グループの手法と対策」と題して、解説記事を公開しました。今回はその続編です。
「敵を知り己を知れば百戦危うからず」という言葉があるように、サイバー攻撃を仕掛けてきている側の情報収集は非常に重要なものですので、今回もQilinランサムウェアグループについて調査してた情報を中心にご紹介していきます。
- 1. Qilinランサムウェアグループの実態
- 1.1.1. ロシア語圏との関連性
- 1.1.2. 1.Qilinのアフィリエイトプログラムはロシアで宣伝されている
- 1.1.3. 2.ロシア系ランサムウェアに共通する特徴的な機能が実装されている
- 1.1. 3.過去のロシア系ランサムウェアグループの手法と多くの共通点をもつ
- 1.1.1. RaaS(Ransomware-as-a-Service)というビジネスモデル
- 1.1.1.1. ビジネスモデルの構造
- 1.1.1.2. 収益配分モデル
- 1.1.1.3. アフィリエイトへの提供サービス
- 1.1.1.4. アフィリエイト募集と審査
- 1.1.1.5. ビジネスモデルの成功しまっている要因
Qilinランサムウェアグループの実態
ロシア語圏との関連性
Qilinランサムウェアグループは、ロシアまたは旧ソビエト連邦諸国を拠点とする組織であると広く考えられています。
この推定は、以下の複数の技術的・言語的・運用的証拠に基づいていると言わていますので、ご紹介します。
1.Qilinのアフィリエイトプログラムはロシアで宣伝されている
Qilinのアフィリエイトプログラムは、排他的なロシア語圏のサイバー犯罪フォーラムである「RAMP」(Ransom Anon Market Place)で活発に宣伝されています。
RAMPは、ランサムウェアオペレーターとアフィリエイトが集まる秘密のマーケットプレイスとして知られており、参加には厳格な審査が必要とされています。
Qilinがこのフォーラムで公然と募集活動を行っているという事実は、グループがロシア語圏のサイバー犯罪コミュニティに深く組み込まれていることを示しています。
2.ロシア系ランサムウェアに共通する特徴的な機能が実装されている
次に、Qilinのランサムウェアには、多くのロシア系ランサムウェアに共通する特徴的な機能が実装されています。
それは、旧ソビエト連邦構成国(ロシア、ウクライナ、ベラルーシ、カザフスタンなど)で使用されるキリル文字系言語を使用しているシステムを自動的に検出し、攻撃を回避する機能です。
この「地理的フィルタリング」機能は、ロシア当局からの追及を避けるための自己防衛策であると考えられており、ロシアを拠点とするサイバー犯罪グループの典型的な行動パターンとなっています。
3.過去のロシア系ランサムウェアグループの手法と多くの共通点をもつ
第三に、Qilinの運用スタイルと戦術は、REvil、BlackMatter、Contiといった過去のロシア系ランサムウェアグループの手法と多くの共通点を持っています。
これには、ダブルエクストーション戦術の採用、高額な身代金要求、そして組織化されたRaaSビジネスモデルの運用が含まれます。
また、グループの活動時間帯の分析からも、ロシアまたは東ヨーロッパのタイムゾーンと一致するパターンが観察されています。ダークウェブ上での投稿時間や、被害者との交渉における応答時間が、モスクワ時間の営業時間帯に集中している傾向が報告されています。
ただし、Qilinの正確な拠点や運営者の身元については、現時点でも完全な特定には至っていません。
グループは高度な運用セキュリティ(OPSEC)を維持しており、メンバーの個人情報や物理的所在地を隠蔽する努力を続けています。
また、RaaSモデルにより、世界中のアフィリエイトがQilinのツールを使用して攻撃を実行しているため、個々の攻撃の背後にいる実行者が必ずしもロシア語圏出身であるとは限りません。
RaaS(Ransomware-as-a-Service)というビジネスモデル
Qilinの急速な成長と成功の核心は、その洗練されたRaaS(Ransomware-as-a-Service)ビジネスモデルにあります。
このモデルは、ランサムウェア攻撃を「サービス」として提供することで、技術的スキルを持つサイバー犯罪者とランサムウェアインフラストラクチャを結びつける、高度に組織化されたエコシステムです。
ビジネスモデルの構造
Qilinは二層構造の組織として運営されています。第一層は「コアオペレーター」と呼ばれる中核グループで、ランサムウェアの開発、インフラストラクチャの維持管理、データリークサイトの運営、そしてアフィリエイトプログラムの管理を担当しています。
第二層は「アフィリエイト」で、Qilinが提供するツールとインフラストラクチャを使用して実際の攻撃を実行する独立した攻撃者たちです。
収益配分モデル
Qilinの収益配分は、身代金の額に応じた段階的な構造となっています。セキュリティ研究者が潜入調査によって明らかにした情報によると、以下のような配分率が適用されています:
- 身代金が300万ドル以下の場合:アフィリエイトが80%、Qilinコアチームが20%
- 身代金が300万ドルを超える場合:アフィリエイトが85%、Qilinコアチームが15%
この配分率は、他の多くのRaaS運営グループと比較しても、アフィリエイトにとって非常に有利な条件となっています。
例えば、一部の競合RaaSでは、コアチームが30%から40%の手数料を徴収する場合もあります。Qilinの寛大な配分率は、優秀なアフィリエイトを引きつけるための戦略的な差別化要因となっています。
アフィリエイトへの提供サービス
Qilinは、以下の様なアフィリエイトに対して包括的なツールとサポートを提供していると言われています。
- カスタマイズ可能なランサムウェアペイロード
アフィリエイトは、標的環境に合わせてランサムウェアの設定を調整できます。これには、暗号化モード(完全暗号化、部分暗号化、高速暗号化)の選択、暗号化から除外するファイルタイプの指定、そして身代金メッセージのカスタマイズが含まれます。 - データリークサイト(DLS)の管理
窃取したデータの公開、段階的なリーク、そして身代金交渉の圧力増大のためのプラットフォームを提供します。 - 身代金交渉支援
被害者との交渉プロセスを管理するためのインターフェースと、必要に応じた交渉サポートを提供します。 - 技術サポート
攻撃実行中の技術的問題に対するサポート、そしてセキュリティ対策の回避方法に関するアドバイスを提供します。 - 暗号通貨による支払い処理
身代金の受領、マネーロンダリング、そしてアフィリエイトへの配分を安全に処理するインフラストラクチャを提供します。
アフィリエイト募集と審査
Qilinは、アフィリエイトの募集において選択的なアプローチを採用しています。RAMPなどの排他的フォーラムで募集を行い、応募者に対しては以下のような要件が課されています。
- ネットワーク侵入とラテラルムーブメント(横展開)の技術的スキル
- 過去のサイバー犯罪活動における実績
- 大規模な攻撃を実行できるリソースへのアクセス
- 運用セキュリティ(OPSEC)に関する理解
この審査プロセスにより、Qilinは質の高いアフィリエイトのネットワークを構築し、成功率の高い攻撃を維持しています。
ビジネスモデルの成功しまっている要因
Qilinのビジネスモデルが成功している理由は、以下の要因に集約されます。
- 低リスク・高収益:アフィリエイトにとって、自らランサムウェアを開発する必要がなく、実証済みのツールとインフラストラクチャを利用できるため、参入障壁が低い。
- 専門性の分離:技術開発とインフラストラクチャ維持はコアチームが担当し、アフィリエイトは攻撃の実行に集中できる分業体制。
- スケーラビリティ:複数のアフィリエイトが同時並行で攻撃を実行できるため、グループ全体の攻撃規模を急速に拡大できる。
- 法執行回避:アフィリエイトとコアチームの分離により、法執行機関による追跡が困難になる。
このビジネスモデルにより、Qilinは2025年に最も活発なランサムウェアグループの一つとしての地位を確立し、アサヒグループホールディングスを含む世界中の組織に対して脅威を与え続けています。
こうして並べてみると、Qilinはとんでもない犯罪ビジネスモデルを構築したのだものだと驚かせられますが、私達が注意警戒しなければならないのは、こうしたガチガチの犯罪基盤ができあがってしまっていて、そう簡単には終わらないという事実です。
間違いなく今後もセキュリティの隙間を探しては、同様のサイバー攻撃を仕掛けてくるでしょう。
その為、企業側としてましては、対策が必須且つ急務となっています。
今回は、Qilinランサムウェアグループの実態、サイバー攻撃の裏側にある基盤についてご紹介しました。是非、貴社のセキュリティ対策の参考としてみてください。
次回は今回発生したサイバー攻撃の詳細を振り返り、Qilinランサムウェアグループの手口を紐解いていきたいと思います。
解説記事「QilinランサムウェアによるアサヒGHDへのサイバー攻撃 ~Qilinランサムウェアグループの実態」の続きは
現在準備中です。
公開までお待ちください。
APPSWINGBYは、最先端の技術の活用と、お客様のビジネスに最適な形で実装する専門知識を有しております。システムのセキュリティ対策としてのシステムアーキテクチャの再設計からソースコードに潜むセキュリティ脆弱性の改修の他、リファクタリング、リアーキテクチャ、DevOps環境の構築、ハイブリッドクラウド環境の構築、テクノロジーコンサルティングサービスなど提供しています。
貴社のセキュリティ対策等についてご相談されたい方は、お問い合わせフォームからお気軽にご連絡ください。システムの専門家が、貴社の課題解決をサポートいたします。
システム開発にお困りではありませんか?
もしも今現在、
- どのように開発を依頼したらよいかわからない
- どのように開発を依頼したらよいかわからない
- 企画や要件定義の段階から依頼できるのか知りたい
- システム開発費用がどれくらいかかるのか知りたい
- 見積りがほしい
など、システム開発に関するご相談・ご依頼がございましたら、お気軽にご相談ください。APPSWINGBYでは、「アプリでお客様のビジネスを加速し、お客様とともにビジネスの成功と未来を形作ること」をミッションとしています。大手SIerやR&D部門で培った経験やノウハウ、高度な技術力でお客様の「やりたい」を実現します。
この記事を書いた人
株式会社APPSWINGBY マーケティング
APPSWINGBY(アップスイングバイ)は、アプリケーション開発事業を通して、お客様のビジネスの加速に貢献することを目指すITソリューションを提供する会社です。
ご支援業種
情報・通信、医療、製造、金融(銀行・証券・保険・決済)、メディア、流通・EC・運輸 など多数
株式会社APPSWINGBY マーケティング
APPSWINGBY(アップスイングバイ)は、アプリケーション開発事業を通して、お客様のビジネスの加速に貢献することを目指すITソリューションを提供する会社です。
ご支援業種
情報・通信、医療、製造、金融(銀行・証券・保険・決済)、メディア、流通・EC・運輸 など多数
監修
株式会社APPSWINGBY CTO 川嶋秀一
動画系スタートアップや東証プライム上場企業のR&D部門を経て、2019年5月より株式会社APPSWINGBY 取締役兼CTO。
Webシステム開発からアプリ開発、AI導入、リアーキテクチャ、リファクタリングプロジェクトまで幅広く携わる。
C, C++, C#, JavaScript, TypeScript, Go, Python, PHP, Java などに精通し、Vue.js, React, Angular, Flutterを活用した開発経験を持つ。
特にGoのシンプルさと高パフォーマンスを好み、マイクロサービス開発やリファクタリングに強みを持つ。
「レガシーと最新技術の橋渡し」をテーマに、エンジニアリングを通じて事業の成長を支えることに情熱を注いでいる。
株式会社APPSWINGBY CTO 川嶋秀一
動画系スタートアップや東証プライム上場企業のR&D部門を経て、2019年5月より株式会社APPSWINGBY 取締役兼CTO。
Webシステム開発からアプリ開発、AI導入、リアーキテクチャ、リファクタリングプロジェクトまで幅広く携わる。
C, C++, C#, JavaScript, TypeScript, Go, Python, PHP, Java などに精通し、Vue.js, React, Angular, Flutterを活用した開発経験を持つ。
特にGoのシンプルさと高パフォーマンスを好み、マイクロサービス開発やリファクタリングに強みを持つ。
「レガシーと最新技術の橋渡し」をテーマに、エンジニアリングを通じて事業の成長を支えることに情熱を注いでいる。
