【事例解説】Qilinのダブル恐喝の恐るべき手口と企業対策を解説

村上陽介

4か月前

「うちはバックアップがあるからランサムウェアは怖くない」——もし、まだそう考えているとしたら、その常識はもはや通用しないかもしれません。近年のサイバー攻撃は、単なるデータ暗号化の脅威を遥かに超えるレベルに進化しています。

特に、日本企業を標的として猛威を振るう「Qilin」ランサムウェア集団は、データを人質に取るだけでなく、盗み出した情報を暴露すると脅す「ダブル恐喝」を主な手口としています。

この記事を読めば、最新の事例からQilinのダブル恐喝の具体的な手口を深く理解し、自社をその脅威から守るための実践的な防御戦略まで、すべてを網羅的に把握できます。経営層や取締役会への説明責任を果たすためにも、ぜひ最後までご覧ください。

【企業必読】Qilinダブル恐喝の恐るべき手口！アサヒGHD事件で見えた新たな脅威
1. アサヒGHDが受けた「27GB窃取」の衝撃！二重脅迫の全貌とは
  1. 従来の暗号化＋情報公開脅迫のコンボ攻撃
  2. ダークウェブでの犯行声明公開という新戦術
2. なぜ企業は二重に追い詰められるのか？ダブル恐喝の心理戦略
  1. バックアップ復旧を無効化する「情報公開」という切り札
  2. 株価下落・信用失墜を恐れる経営層の心理を突く手法
【実例分析】Qilinが狙う侵入経路TOP5と具体的攻撃プロセス
1. VPN脆弱性からフィッシングまで：多様化する初期侵入手法
2. 権限昇格→データ窃取→暗号化の時系列解説
被害企業が直面する「三重苦」の現実とは？
1. システム停止・情報流出・法的責任の複合リスク
2. 取引先への機密保持義務違反と契約責任
プロが教える！ダブル恐喝攻撃を防ぐ7つの防御戦略
1. 技術的対策：ゼロトラスト・EDR・セグメンテーション
2. 組織的対策：インシデント対応計画・契約条項見直し
よくある質問と回答
まとめ：明日からどう変わる？今後の展望と使い方
参考文献

【企業必読】Qilinダブル恐喝の恐るべき手口！アサヒGHD事件で見えた新たな脅威

まずは、2025年10月に発生したアサヒグループホールディングスへの攻撃という衝撃的な事例を通じて、Qilinが得意とするダブル恐喝という手口の全体像を明らかにします。

アサヒGHDが受けた「27GB窃取」の衝撃！二重脅迫の全貌とは

今回のアサヒGHDへの攻撃で、Qilinが実行した「二重脅迫」とは一体どのようなものだったのでしょうか。これは、従来のランサムウェア攻撃とは一線を画す、非常に狡猾な戦術なんですよね。

従来の暗号化＋情報公開脅迫のコンボ攻撃

まず、彼らはネットワークに侵入後、データを暗号化して事業を停止に追い込みます。これが一段階目の脅迫です。しかし、Qilinの本当の狙いはここから始まります。

どういうことかというと、データを暗号化する前に、マイナンバーのコピーや監査報告書といった機密性の高い情報を根こそぎ盗み出しておくのです。そして、「身代金を払わなければ、盗んだ情報をダークウェブで公開する」と脅す。これが二段階目の脅迫です。この暗号化と情報窃取を組み合わせたコンボ攻撃こそが、Qilinのダブル恐喝の核心です。

Qilinランサムウェアに感染した場合の初期症状や、具体的な拡張子の変化については、こちらの記事で詳しく解説していますので、まずはこちらからご覧になることをお勧めします。

ダークウェブでの犯行声明公開という新戦術

Qilinは、脅迫の効果を最大化するために、ダークウェブ上に「WikiLeaksV2」と呼ばれる独自のリークサイトを運営しています。アサヒGHDの事例でも、犯行声明と盗み出したデータの一部をこのサイトで公開し、世界中に自らの「戦果」をアピールしました。

これは、被害企業に対して「我々は本気だ」という強いプレッシャーを与えると同時に、他の企業に対しても「次はあなたかもしれない」という恐怖を植え付ける、計算された戦術と言えるでしょう。

なぜ企業は二重に追い詰められるのか？ダブル恐喝の心理戦略

ここで疑問に思うのが、「バックアップからデータを復元すれば、身代金を払う必要はないのでは？」という点です。しかし、ダブル恐喝はこの対策を無力化する、恐ろしい心理的戦略に基づいています。

バックアップ復旧を無効化する「情報公開」という切り札

従来のランサムウェア対策の常識は、「定期的なバックアップ」でした。しかし、Qilinのダブル恐喝は、その常識を根底から覆します。なぜなら、たとえバックアップからシステムを復旧できたとしても、一度盗まれた情報が戻ってくるわけではないからです。

攻撃者は、「データは復元できても、顧客情報や技術情報が流出するダメージは防げませんよね？」という、企業の最も痛い部分を突いてきます。これが、彼らが持つ最強の切り札なんですよね。

株価下落・信用失墜を恐れる経営層の心理を突く手法

情報流出がもたらす被害は、システムの停止だけに留まりません。顧客からの信頼失墜、ブランドイメージの低下、株価の下落、そして取引先からの損害賠償請求など、経営の根幹を揺るがす二次被害へと発展します。

攻撃者はこの経営層の心理を完全に見透かしており、「身代金を払うコスト」と「情報公開による事業的損失」を天秤にかけさせ、支払わざるを得ない状況へと追い込んでいくのです。

【実例分析】Qilinが狙う侵入経路TOP5と具体的攻撃プロセス

では、Qilinは具体的にどのような手口で企業ネットワークに侵入し、ダブル恐喝を実行に移すのでしょうか。最新の分析から判明した攻撃プロセスを時系列で解説します。

VPN脆弱性からフィッシングまで：多様化する初期侵入手法

攻撃の第一歩である「初期侵入」の手口は、年々多様化・巧妙化しています。特にQilinが多用する侵入経路は以下の通りです。

第1位：VPN機器の脆弱性悪用: リモートワークの普及で導入が進んだVPN機器の、修正パッチが適用されていない脆弱性を狙います。
第2位：フィッシングメール: 従業員を騙して不正なリンクをクリックさせ、IDやパスワードなどの認証情報を盗み取ります。
第3位：RDP（リモートデスクトップ）の悪用: 安易なパスワード設定や設定ミスを突いて、外部からサーバーを乗っ取ります。
第4位：多要素認証（MFA）バイパス: 認証要求を大量に送りつけてユーザーを疲弊させる攻撃などで、MFAを突破します。
第5位：Chrome保存認証情報の窃取: マルウェアを使い、ブラウザに保存されたパスワードを盗み出します。

これらの経路のうち、一つでも対策が甘い箇所があれば、そこが侵入の突破口となり得ます。

権限昇格→データ窃取→暗号化の時系列解説

ネットワーク内部に足がかりを築いた後、攻撃者は以下のステップで犯行を進めます。

権限昇格：一般ユーザー権限で侵入した後、ツールの悪用などにより、ネットワーク全体を管理できる「ドメイン管理者」の権限を奪取します。
横展開：管理者権限を使い、ネットワーク内の他のサーバーやPCへと感染を広げていきます。
データ窃取：暗号化を実行する前に、価値の高い機密情報を特定し、外部のサーバーへ転送します。ダブル恐喝の準備段階です。
暗号化実行：十分にデータを盗み出した後、強力な暗号化技術でファイルを使用不可能な状態にします。
証拠隠滅：自分たちの活動の痕跡であるログを消去し、バックアップを破壊するなどして、調査や復旧を妨害します。

被害企業が直面する「三重苦」の現実とは？

ダブル恐喝の被害に遭った企業は、単なるシステム障害では済まない、「三重苦」とも言える深刻な状況に直面します。

システム停止・情報流出・法的責任の複合リスク

企業が直面するリスクは、以下の3つに大別されます。

事業停止リスク：アサヒGHDの事例のように、工場の生産ラインや基幹システムが停止し、深刻な事業機会の損失につながります。
情報流出リスク：顧客や従業員の個人情報、企業の技術情報が流出し、企業の社会的信用が根底から覆されます。
法的責任リスク：個人情報保護法違反や、取引先との契約違反など、複数の法的責任を同時に問われる可能性があります。

これらのリスクが複合的に絡み合い、復旧コストはフォレンジック調査費用や訴訟対応費用なども含め、数億円規模に膨れ上がることも少なくありません。

取引先への機密保持義務違反と契約責任

特に見過ごせないのが、取引先との契約責任です。顧客から預かっていた重要なデータや、共同開発で得た技術情報などを漏洩させてしまった場合、機密保持契約（NDA）違反に問われ、莫大な損害賠償を請求されるリスクがあります。

ですので、自社の情報資産を守ることはもちろん、取引先との信頼関係を維持するためにも、サイバー攻撃対策は今や経営の最重要課題の一つと言えるでしょう。

プロが教える！ダブル恐喝攻撃を防ぐ7つの防御戦略

では、日に日に巧妙化するQilinのダブル恐喝から、どうすれば自社を守れるのでしょうか。最後に、技術面と組織面から成る7つの具体的な防御戦略を提案します。

技術的対策：ゼロトラスト・EDR・セグメンテーション

まず、ITインフラで実装すべき技術的な対策です。

対策1：ゼロトラストアーキテクチャの導入: 「社内だから安全」という考えを捨て、全ての通信を検証するアプローチです。
対策2：EDRの展開: PCやサーバーの不審な挙動を検知し、攻撃の初期段階で封じ込めます。
対策3：ネットワークセグメンテーション: ネットワークを細かく分割し、万が一侵入されても被害が重要システムに及ばないようにします。
対策4：データバックアップと隔離保管: バックアップデータは、普段使用するネットワークから物理的・論理的に隔離して保管します。
対策5：DNS通信保護と情報漏洩検知: 攻撃者が使う指令サーバーとの通信をブロックし、機密データが外部に送信されるのを監視します。

組織的対策：インシデント対応計画・契約条項見直し

技術だけでは防ぎきれません。組織としての備えも不可欠です。

対策6：包括的インシデント対応計画の策定: 攻撃を受けた際に「誰が」「何を」「どのように」対応するのか、具体的な手順書を事前に作成し、訓練を行います。
対策7：契約条項の見直し: 取引先との契約書に、サイバー攻撃を想定した不可抗力条項を盛り込むなど、法務面でのリスクヘッジも検討しましょう。

これらの対策を組み合わせ、多層的な防御体制を構築することが、Qilinのような高度な脅威に対抗するための唯一の道です。

よくある質問と回答

Q. Qilinのダブル恐喝とは、具体的にどのような手口ですか？

A. 企業のデータを暗号化して事業を止める「一段階目の脅迫」に加え、事前に盗み出した機密情報を「ダークウェブで公開する」と脅す「二段階目の脅迫」を組み合わせた非常に悪質な手口です。

Q. バックアップがあれば、ダブル恐喝は防げますか？

A. いいえ、防げません。バックアップでシステムの復旧は可能ですが、盗まれた情報が流出するリスクは回避できないため、攻撃者はその点を突いて身代金を要求してきます。これがダブル恐喝の最も恐ろしい点です。

Q. 攻撃を受けた場合、最も重要なことは何ですか？

A. パニックにならず、事前に定めたインシデント対応計画に沿って行動することです。具体的には、被害拡大を防ぐための初動対応と、速やかな専門家への相談が重要になります。

まとめ：明日からどう変わる？今後の展望と使い方

今回は、アサヒGHDの事例を基に、Qilinランサムウェア集団が用いるダブル恐喝の手口とその対策について、詳細に解説しました。

Qilinのダブル恐喝は、データの暗号化と情報窃取・公開脅迫を組み合わせた複合攻撃である。
この手口は、従来の「バックアップからの復旧」という対策を無力化し、企業の信用や株価といった経営の根幹を揺さぶる。
防御するには、ゼロトラストやEDRといった技術的対策と、インシデント対応計画の策定といった組織的対策の両輪が不可欠である。

サイバー攻撃のリスクは、もはや情報システム部門だけの問題ではありません。経営層を含めた全社的な取り組みが求められています。この記事が、皆さまのセキュリティ体制を見直す一助となれば幸いです。

参考文献

COKI：「Qilin（キリン）」とは何者かアサヒグループを襲ったランサム攻撃の全貌 (出典)
毎日新聞：ハッカー集団が犯行声明ネット上に公開アサヒへのサイバー攻撃 (出典)
INNOVATOPIA：アサヒに犯行声明――27GB窃取、日本企業8社攻撃の実態 (出典)
ESET：新型ランサムウェアとは？暴露型・二重脅迫型の特徴と対策 (出典)
サイバーセキュリティ.com：【注意喚起】医療・教育機関も標的に Qilin（Agenda）ランサムウェア (出典)
Gate02：月刊ランサムウェアモニター 2025年8月版｜最新レポートから見えた新たなリスク (出典)
UNITIS：ランサムウェアへの感染被害により生じる取引先への契約責任と対策 (出典)
JTC総合法務事務所：二重脅迫型ランサムウェア攻撃とは (出典)