「Qilin(キリン)」とは何者か――国内事例を含む脅威プロファイルと実務対策
近年、日本国内のニュースでも頻繁に取り上げられるサイバー犯罪グループ Qilin(別名:Agenda)。医療・製造・食品・官公庁などを問わず、被害組織の規模や地域を選ばない“業種横断型の二重恐喝(Double Extortion)”を展開し、暗号化による業務停止と盗難データの公開予告(リーク)を同時に突きつけることで、短期間で高額な身代金を迫ります。本記事では、公開情報に基づくQilinの来歴・手口・交渉スタイル・国内を含む主要インシデントの実相、そして現場で役立つ防御と対応の勘所をまとめます。
1. 概要:Qilin(Agenda)の素性と基本戦略
Qilinは、「暗号化+窃取+公開」を中核にした二重恐喝モデルを採用するランサムウェア・グループです。研究コミュニティでは「Agenda」という名でも追跡されており、リークサイトを通じて支払いに応じない組織のデータを段階的に公開します。ユースケース別にWindows/Linux両方の実行体を用意し、横展開後に一気呵成で暗号化・破壊・証拠隠滅を進めることで、復旧の困難化と交渉圧力の最大化を狙うのが典型です。技術分析ではカスタム化しやすいコンフィグ駆動の特徴や、環境に応じた実行オプションを備える点が指摘されています。
2. 代表的な被害事例(海外)――医療分野に大打撃
2.1 英国・NHS(下請けのSynnovis)への攻撃(2024年6月)
Qilinは2024年6月に、ロンドンの主要病院へ血液検査サービスを提供するSynnovisを標的にし、病院の手術・検査の数千件規模の延期を引き起こしました。リークサイトには被害データの一部が掲載され、患者情報が外部流出した可能性が大きく報じられています。さらに2025年には、この攻撃が患者死亡の一件に因果関係を持つと英報道が伝え、医療サプライチェーン攻撃の深刻さが社会的にも問題化しました。捜査には英国NCAのみならずFBIも関与しています。
3. 日本国内での動向
日本国内でも、Qilinの名は複数の報道で取り沙汰されるようになりました。特に2025年にはアサヒグループホールディングスの一部システムへの侵害が報じられ、海外子会社・グローバル拠点を含む複雑なサプライチェーンが攻撃の踏み台・拡散経路となり得る現実が再確認されています。Qilinのリークサイト上で交渉や“証拠サンプル”が示されるのは定石で、国内企業に対しても「海外拠点起点→国内展開」のパターンを意識した監視・封じ込め設計が必須です。
4. 侵入から恐喝まで:典型的なキルチェーン
- 初期侵入:外部公開のリモート管理基盤(VPN/VDI/境界機器/Citrix/VMwareなど)の脆弱性悪用、あるいはフィッシング/侵害済みアカウントの悪用。
- 権限昇格・横展開:AD(Active Directory)情報の収集、認証情報・セッション窃取、RDP/SMB/WinRM等での横移動。重要サーバーに静かに踏み込む。
- データ窃取:機密ファイルを先に吸い上げ、「払わなければ公開」の交渉材料を確保。
- 暗号化・破壊:セーフモードやドメインポリシー、スクリプトを併用し広範に暗号化。バックアップの消去・無効化も併せて実行。
- 二重恐喝・交渉:リークサイトで“カウントダウン”をしながら、広報・規制当局・取引先への波及をほのめかして圧力を高める。
技術分析では、Qilin/Agendaは柔軟な暗号化ポリシーやサービス停止・ボリュームスナップショット破壊の機能が報告されています。つまり、「事前にバックアップ体制やEPP/EDRの連携・MFA強制・監視網を固めていないと、事後の打ち手が急速に乏しくなる」タイプの脅威です。
5. 交渉と広報の特徴
- “揺さぶり型”の情報公開:最初にサンプルを出し、徐々に量や機密度を上げることで取引先・規制当局・株主への二次被害懸念を誘発。
- 期限とディスカウントの演出:短い締切と値引きの提示で、内部稟議や取締役会意思決定の遅さを逆手に取り焦らせる。
- 広報・法令順守の板挟み:個人情報保護法、個人情報保護委員会への報告、公表のタイミングと内容が交渉材料になり得る。
6. 実務対策:予防・検知・初動・復旧
6.1 予防:攻撃対象面の縮小
- 外部公開資産の棚卸しと強制MFA:VPN/VDI/境界機器を中心に、“インターネットに見えているもの”の可視化と即時防御を徹底。
- パッチ&設定のSLA化:境界機器・仮想化基盤・ID基盤は「ゼロデイの養生計画」を事前に決める(緊急アップデート、スロットリング、WAF/IPS仮想パッチ)。
- 最小権限+分離:管理系アカウントの日常使用禁止、Tiered Adminモデル、重要サーバーのネットワーク分離、バックアップネットワークの物理/論理分離。
- データの所在管理(DSPM的アプローチ):どの部門に何の個人情報・設計情報・研究データがあるかを把握し、不要な共有・過剰権限を削減。
6.2 検知:横展開を“長くさせない”
- EDR/XDRのルール最適化:高リスクの横移動テクニック(Pass-the-Hash/票券窃取/LSASSアクセス/異常RDP/大量SMB)を強アラートに。
- アイデンティティ監視:深夜・休日の管理者ログイン、MFA失敗の連鎖、普段ない場所からのSSO成功を検知して即遮断。
- データ外送の検知:異常に大きな転送、未知の外部宛暗号化トンネルをDLP/Firewallで検知・一時封鎖。
6.3 初動:暗号化前の“数十分〜数時間”が勝負
- 判断フローの事前化:「何をもってインシデント宣言し、どの範囲を強制遮断するか」を文書化しておく(CSIRT/経営合意)。
- フォレンジックと事業継続の両立:ログ・メモリ・ネットワーク証跡を確保しつつ、代替動線(SaaS切替/DRサイト)を即時起動。
- 広報・法的対応の並走:個情法・業法・契約上の通知義務の整理、外部弁護士・IR・規制当局と同時歩行。
6.4 復旧:二重恐喝時代の“戻し方”
- 復旧の優先順位:医療・製造・物流など生命・安全・社会基盤に関わる業務を最優先で段階回復。
- データ公開への備え:たとえ復号しても流出は残る。被害者通知、監査ログの開示準備、契約先への説明テンプレートを平時から用意。
- 交渉の是非:支払いは再犯誘発・制裁リスクを伴う。「支払わなくても公開される、支払っても消される保証はない」現実を前提に、法務・経営・保険で総合判断。
7. 日本企業が特に押さえるべきポイント
- グローバル連結の盲点:海外子会社や委託先の脆弱性が国内本社の“裏口”になりうる。統合ID・ゼロトラスト・境界機器のポリシー統一が必須。
- 医療・重要インフラの連鎖影響:サプライヤ1社の停止が患者安全・生産ライン・物流全体に波及。BCPの“相互依存”を踏まえた演習を。
- 法令・規制の実務:個情法、サイバーセキュリティ経営ガイドライン、業界ガイドライン(医療・製造・金融)に沿うインシデント報告と説明責任を前提化。
8. まとめ
Qilin(Agenda)は、暗号化と恐喝を洗練させた“交渉主導型”ランサムウェアです。技術だけではなく、広報・法務・規制・サプライチェーンの弱点まで見透かして圧力をかけてきます。鍵は、攻撃対象面の縮小・横展開の早期検知・初動フローの即応・復旧と説明責任の両立。とりわけ日本企業にとっては、海外拠点/委託先を含む統制と、医療・製造など現場の安全を守るBCP設計が最重要です。
参考情報・出典
- Asahi Groupへの攻撃報道(2025年)……Qilinの脅威を国内でも可視化。
- Qilin/Agendaの技術・運用解説(研究・業界資料)……実行オプションや二重恐喝の実装に関する分析。
- 英国NHS(Synnovis)事案(2024年6月)……患者安全への深刻な波及。
