Qilinランサムウェア、2026年だけで400件超——最も活発な脅威グループに
2026年の最初の3か月だけで、すでに400件以上の被害——。ランサムウェアグループ「Qilin(キリン)」が、2026年に入ってから驚異的なペースで攻撃を繰り返している。2025年通年では1,000件を超える被害を記録し、LockBitやRansomHubを上回る勢いで「最も活発なランサムウェアグループ」の座を固めつつある。
身代金要求額は数十万ドルから数百万ドルに及び、製造業、ヘルスケア、教育機関を中心に世界中の組織が標的となっている。日本企業も例外ではない。本記事では、Qilinの攻撃手法、標的業界の傾向、主要ランサムウェアグループとの比較、そして日本企業が今すぐ実施すべき防御策を詳しく解説する。
Qilinランサムウェアとは何か
Qilinは2022年8月に初めて観測されたRaaS(Ransomware-as-a-Service)型のランサムウェアグループだ。当初は「Agenda」という名称で活動していたが、後に「Qilin」にリブランディングした。名称の由来は中国の伝説上の生物「麒麟」とされている。
RaaSモデルの仕組み
Qilinは他の主要グループと同様に、RaaSモデルを採用している。これは、コア開発チームがランサムウェアの開発・インフラ管理を担当し、「アフィリエイト」と呼ばれる実行犯が実際の攻撃を行うという分業体制だ。
- コア開発チーム: ランサムウェア本体の開発、暗号化アルゴリズムの改良、リークサイトの運営、身代金交渉用チャットの管理
- アフィリエイト(実行犯): 標的の選定、初期侵入、ネットワーク内の横展開(ラテラルムーブメント)、データ窃取、ランサムウェアの展開
- 収益分配: 身代金の80〜85%がアフィリエイトに、15〜20%がコア開発チームに配分される
この高い報酬率がQilinの急成長を支えている。LockBitの内部崩壊やBlackCat/ALPHVの出口詐欺事件を受けて、腕利きのアフィリエイトがQilinに流入したことが、2025年後半からの被害急増の大きな要因だ。
技術的特徴
Qilinのランサムウェアは以下の技術的特徴を持つ。
- クロスプラットフォーム対応: Rust言語で記述されており、Windows、Linux、VMware ESXiなど複数のプラットフォームに対応
- 二重恐喝(Double Extortion): データを暗号化するだけでなく、事前に窃取したデータをリークサイトで公開すると脅迫
- 高度な暗号化: AES-256-CTRとRSA-4096を組み合わせたハイブリッド暗号化方式を採用
- 防御回避: セキュリティソフトの無効化、Windowsイベントログの消去、バックアップの削除を自動実行
- カスタマイズ性: アフィリエイトが標的に合わせて暗号化対象のファイル拡張子やプロセス停止リストを設定可能
2026年Q1の被害状況
爆発的な増加ペース
2026年の最初の3か月(Q1)だけでQilinの被害件数は400件を突破した。この数字は、2025年通年の1,011件と比較しても驚異的だ。単純計算で年間1,600件ペースであり、前年比約60%増という加速的な成長を見せている。
この図は、主要ランサムウェアグループの2025年通年と2026年Q1の被害件数を比較したものです。Qilinが他グループを大きく引き離す勢いで被害を拡大していることが分かります。
主要な攻撃事例(2026年Q1)
2026年に入ってからのQilinの攻撃は、規模・影響度ともに深刻さを増している。
- Lee Enterprises(米国メディア大手、2月): 米国75紙以上を発行するメディアコングロマリットが被害。新聞の印刷・配送が数週間にわたり混乱し、350,000件以上の個人情報が流出
- Houston Symphony(米国、3月): テキサス州ヒューストン交響楽団が攻撃を受け、内部文書・財務データが窃取
- Utsunomiya Central Clinic(日本、2月): 宇都宮中央クリニックが標的となり、患者情報が流出。日本国内の医療機関への攻撃事例として注目
- 複数の欧州製造業企業: ドイツ、フランス、イタリアの自動車部品メーカーや化学メーカーが連続的に標的に
地域別の被害分布
Qilinの攻撃は地理的に偏りなく広がっている。
| 地域 | 被害割合 | 主な標的国 |
|---|---|---|
| 北米 | 38% | 米国、カナダ |
| 欧州 | 30% | 英国、ドイツ、フランス |
| アジア太平洋 | 18% | 日本、オーストラリア、韓国 |
| 中東・アフリカ | 8% | UAE、サウジアラビア |
| 中南米 | 6% | ブラジル、メキシコ |
攻撃手法の詳細分析
初期侵入経路
Qilinアフィリエイトが用いる主な初期侵入経路は以下の通りだ。
1. VPN/リモートアクセスの脆弱性悪用
最も多い侵入経路は、パッチ未適用のVPNアプライアンスやリモートアクセスゲートウェイの脆弱性を悪用するものだ。特に以下の製品が標的となっている。
- Citrix NetScaler(CVE-2023-4966 "Citrix Bleed" の残存脆弱性)
- Fortinet FortiGate
- Pulse Secure / Ivanti Connect Secure
- Palo Alto Networks GlobalProtect
2. フィッシングメール
標的型フィッシングメールも依然として有効な侵入手段だ。特にQilinのアフィリエイトは、請求書や契約書を装ったPDFファイルにマルウェアを仕込む手法を多用する。
3. 認証情報の窃取・購入
ダークウェブ上で販売されている窃取済みの認証情報(Initial Access Broker経由)を購入し、正規の認証情報でVPNやRDPにログインするケースも増加している。1Passwordのようなパスワードマネージャーの導入と、多要素認証(MFA)の徹底が不可欠だ。
ネットワーク内での活動
初期侵入に成功した後、Qilinアフィリエイトは以下の手順でネットワーク内を横展開する。
- 権限昇格: Mimikatzやrubeus等のツールでドメイン管理者権限を取得
- 偵察: Active Directoryの列挙、ネットワークスキャン、機密データの特定
- データ窃取: RcloneやMegaSyncを使い、クラウドストレージにデータを転送(暗号化前に実施)
- 防御無効化: セキュリティソフトのアンインストール、Windowsイベントログの消去
- ランサムウェア展開: GPO(グループポリシーオブジェクト)やPsExecを使い、全端末に一斉展開
- 身代金要求: Torネットワーク上のチャットで交渉。支払期限は通常72時間〜5日間
身代金要求額の傾向
Qilinの身代金要求額は標的の規模に応じて大きく変動する。
| 標的の規模 | 身代金要求額(USD) | 日本円換算 |
|---|---|---|
| 中小企業(従業員100名未満) | $200,000〜$500,000 | 約3,000万〜7,500万円 |
| 中堅企業(100〜1,000名) | $500,000〜$2,000,000 | 約7,500万〜3億円 |
| 大企業(1,000名以上) | $2,000,000〜$10,000,000 | 約3億〜15億円 |
| 重要インフラ・上場企業 | $10,000,000〜$50,000,000 | 約15億〜75億円 |
平均身代金要求額は約**$2.5M(約3.75億円)** だが、実際の支払額はこれより低い場合が多い。ただし、Qilinは交渉が決裂した場合にリークサイトでデータを公開する確率が非常に高く、「払わないと本当に公開する」という脅迫の信頼性が高いことが支払い率を押し上げている。
主要ランサムウェアグループとの比較
Qilinの急成長を理解するために、2025〜2026年の主要グループを比較する。
| グループ | 2025年被害件数 | 2026年Q1被害件数 | RaaSモデル | 主な標的業界 | 平均身代金要求額 | 特徴 |
|---|---|---|---|---|---|---|
| Qilin | 1,011 | 400+ | あり | 製造業・ヘルスケア | $2.5M | Rust製、クロスプラットフォーム |
| LockBit | 530 | 180 | あり | IT・金融 | $1.8M | 法執行機関の摘発後に弱体化 |
| RansomHub | 620 | 210 | あり | 多業種 | $2.0M | BlackCatアフィリエイトの受け皿 |
| Play | 480 | 150 | あり | 政府・製造業 | $1.5M | 北朝鮮との関連が指摘 |
| Medusa | 350 | 120 | あり | 教育・ヘルスケア | $1.2M | Medusa BlogでのIP公開が特徴 |
| Akira | 290 | 100 | あり | 中小企業 | $800K | VPN脆弱性悪用に特化 |
LockBitの衰退とQilinの台頭
2024年2月のOperation Cronos(国際法執行機関によるLockBitの摘発作戦)以降、LockBitは復活を試みたが、かつての勢いを取り戻せていない。インフラの押収、アフィリエイトの逮捕、運営者「LockBitSupp」の身元特定などが重なり、信頼性が大幅に低下した。
この「パワーバキューム(権力の空白)」を埋めたのがQilinだ。高い報酬率(80〜85%)と安定したインフラ、そして技術的に洗練されたランサムウェアが、LockBitやBlackCat/ALPHVから流出したアフィリエイトを引き寄せた。
BlackCat/ALPHVの「出口詐欺」事件
2024年3月、BlackCat/ALPHVは大手ヘルスケア企業Change Healthcareから$22M(約33億円)の身代金を受け取った後、アフィリエイトへの分配を行わず突然サービスを停止する「出口詐欺」を実行した。この事件で多くのアフィリエイトが行き場を失い、Qilinへの移行が加速した。
標的業界の分析
この図は、ランサムウェア攻撃の業種別分布を示しています。Qilinは特に製造業とヘルスケアを重点的に標的としており、身代金支払い率が高い業種を戦略的に選定していることが分かります。
なぜ製造業が最大の標的なのか
製造業がランサムウェアの最大の標的となっている理由は明確だ。
- ダウンタイムの許容度が極めて低い: 生産ラインの停止は1日あたり数千万〜数億円の損失を生む
- OT(Operational Technology)環境のセキュリティが脆弱: ITとOTの境界が曖昧な工場が多く、侵入されやすい
- サプライチェーンへの波及効果: 1社の停止が取引先全体に影響し、支払い圧力が高まる
- 古いシステムの残存: Windows XPや未パッチのSCADAシステムが現役で稼働している工場が多い
ヘルスケアへの攻撃の深刻さ
Qilinは医療機関への攻撃を躊躇しない。2025年には英国NHSの主要病理学検査サービスプロバイダーであるSynnovisが攻撃を受け、ロンドンの複数の病院で手術のキャンセルや検査の遅延が発生した。患者の生命に直結するため、身代金の支払い圧力は他業種よりも格段に高い。
日本企業の被害状況と対策
日本国内の被害事例
日本企業もQilinの標的から逃れていない。2026年に入ってからの主な事例として以下が報告されている。
- 宇都宮中央クリニック(2026年2月): 患者の個人情報・診療記録が窃取された可能性。Qilinのリークサイトに名前が掲載
- 複数の中小製造業企業: 自動車部品メーカーを中心に、非公開ながら複数の被害が確認されている
警察庁のサイバー犯罪統計によると、2025年のランサムウェア被害件数は過去最多を更新しており、その傾向は2026年も続いている。特にQilinを含むRaaSグループによる攻撃は、日本の中小企業を「身代金の支払い能力があり、セキュリティ体制が手薄」な標的と見なしている。
日本企業が特に注意すべきポイント
日本企業には、以下のような特有のリスク要因がある。
1. VPN依存の高さ
日本企業のリモートアクセスはVPN依存度が高く、これがQilinの主要な侵入経路と合致する。FortiGateやPulse Secureの脆弱性が悪用される事例が後を絶たない。
2. サプライチェーンの複雑さ
日本の製造業は多層的なサプライチェーンを構成しており、Tier 2・Tier 3のサプライヤーがランサムウェアに感染すると、完成車メーカーの生産にまで影響が及ぶ。2022年の小島プレス工業の事例(トヨタの全工場が1日停止)がその典型だ。
3. 身代金支払いに関する曖昧な方針
欧米企業と比較して、日本企業はランサムウェアの身代金支払いに関する社内方針が明確でないケースが多い。事前にインシデント対応計画を策定し、「払うか・払わないか」の判断基準を経営層を交えて決定しておくべきだ。
今すぐ実施すべき防御策
基本対策(必須)
| 対策 | 具体的なアクション | 優先度 |
|---|---|---|
| VPN/リモートアクセスの更新 | FortiGate、Pulse Secure等の最新パッチ適用 | 最優先 |
| 多要素認証(MFA)の全面導入 | VPN、メール、クラウドサービスすべてに適用 | 最優先 |
| パスワード管理の強化 | 1Password等のパスワードマネージャー導入、使い回し禁止 | 高 |
| オフラインバックアップ | 3-2-1ルール(3コピー、2種類のメディア、1つはオフサイト) | 高 |
| EDR/XDRの導入 | CrowdStrike、Microsoft Defender for Endpointなどの導入 | 高 |
高度な対策(推奨)
- ネットワークセグメンテーション: IT環境とOT環境を厳密に分離。VLANとファイアウォールで制御
- ゼロトラストアーキテクチャへの移行: VPNからZTNA(Zero Trust Network Access)への段階的移行
- 脅威インテリジェンスの活用: Qilinが使用するTTP(戦術・技術・手順)をMITRE ATT&CKフレームワークにマッピングし、検知ルールを最適化
- NordVPN等の信頼性の高いVPNサービス活用: 個人の通信暗号化によるフィッシング・中間者攻撃の防止
インシデント対応準備
- ランサムウェアインシデント対応計画(IRP)の策定と年2回の訓練
- 外部フォレンジック企業との事前契約(リテイナー契約)
- サイバー保険の加入検討(身代金支払い補償の有無を確認)
- 法執行機関(警察庁、JPCERT/CC)への報告体制の確認
ランサムウェア対策の費用対効果
「セキュリティ投資は高い」という声は多いが、ランサムウェア被害のコストと比較すれば、事前投資は極めて合理的だ。
| 項目 | 事前投資コスト(年間) | 被害時のコスト |
|---|---|---|
| EDR/XDR導入 | 500万〜3,000万円 | 復旧費用: 1億〜10億円 |
| MFA導入 | 100万〜500万円 | 身代金: 3億〜75億円 |
| セキュリティ研修 | 50万〜200万円 | 事業停止損失: 1日5,000万〜数億円 |
| バックアップ強化 | 200万〜1,000万円 | レピュテーション損害: 算定不能 |
| インシデント対応準備 | 300万〜1,500万円 | 訴訟・罰金: 数億円 |
事前投資の総額(年間1,000万〜5,000万円)に対し、被害時のコストは桁違いに大きい。特に製造業では生産停止による機会損失が甚大であり、「投資しない方がリスクが高い」という判断が明確だ。
今後の見通し
Qilinのさらなる進化
セキュリティ研究者は、Qilinが2026年後半に向けて以下の方向に進化すると予測している。
- AIを活用したフィッシングメールの高度化: 標的企業の社内用語や業務フローを学習し、より精巧なソーシャルエンジニアリングを実行
- クラウド環境への攻撃拡大: AWS、Azure、GCPのIaaS/PaaS環境を直接標的とする手法の開発
- サプライチェーン攻撃の増加: MSP(マネージドサービスプロバイダー)やソフトウェアベンダー経由での大規模同時攻撃
国際的な法執行の動向
LockBitに対するOperation Cronosの成功を受けて、国際法執行機関はQilinに対しても同様の摘発作戦を準備していると報じられている。しかし、Qilinの運営インフラはロシアを拠点としており、ロシア当局の協力が得られない現状では、完全な摘発は困難と見られている。
まとめ
Qilinランサムウェアは、2026年において最も警戒すべきサイバー脅威の一つだ。LockBitの衰退やBlackCat/ALPHVの崩壊によるアフィリエイトの流入、高い報酬率、そして技術的に洗練されたツールが相まって、被害は今後も拡大する見通しだ。
日本企業が今すぐ取るべきアクションは以下の3つだ。
- VPN/リモートアクセス機器のパッチ適用と多要素認証の全面導入: Qilinの主要侵入経路を塞ぐ。1Passwordでパスワード管理を一元化し、認証情報の使い回しを根絶する
- 3-2-1バックアップルールの徹底とインシデント対応計画の策定: オフラインバックアップを確保し、「いつ攻撃されても復旧できる」体制を構築。経営層を交えた対応訓練を年2回以上実施する
- 脅威インテリジェンスの導入とセキュリティ体制の継続的改善: Qilinの最新TTPを追跡し、EDR/XDRの検知ルールを最適化。サプライチェーン全体のセキュリティ水準を底上げするため、取引先のセキュリティ評価を定期的に実施する
ランサムウェアは「対岸の火事」ではなく、日本企業にとって現実の脅威だ。被害に遭ってから対策するのではなく、今この瞬間から防御を固めることが、事業継続の生命線となる。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星