Qilinランサムウェア：「弁護士に連絡」機能を導入

AIの進化とともに、新たなセキュリティのリスクが増えており、さらなる防御力が求められています。防御を強化する際、押さえておきたいのが脅威アクターの情報です。彼らが用いる攻撃手法を知ることで、有効な対策を講じることが可能になります。

そこで本連載では、フォーティネットの「Threat Actor Encyclopedia」から、特に注目すべき脅威アクターの情報をお届けします。初回となる今回は、日本企業でも被害が確認されている、ランサムウェアグループ「Qilin」を紹介します。

概要

Qilinは、Ransomware-as-a-Service（RaaS）モデルを運用するランサムウェアグループであり、2022年半ばごろに出現しました。当初は「Agenda」という名称で活動していましたが、数カ月後に「Qilin」に改名しました。「Qilin」という名称の由来は不明ですが、「Qilin」というユーザーがAgendaランサムウェアを宣伝していたことは確かです。

Qilinの標的は複数の地域に及びます。影響を受ける業界は多岐にわたり、エネルギーやヘルスケアなど、重要度が高く、リソースを大量に必要とするセクターも含まれます。このグループは二重の脅迫戦術を用いており、被害者のデータを暗号化するだけでなく、盗み出して「公開する」と脅迫します。

Qilinは2025年半ばにアフィリエイトポータルに「弁護士に連絡」機能を導入しました。身代金交渉中にアフィリエイトがこの機能を呼び出すと、Qilinと提携しているとされる弁護士（本当に弁護士かは不明）につながります。この機能は、被害者を支援するものではなく、法的根拠や脅迫的な姿勢を提示することで被害者にプレッシャーをかけて支払いを迫ることを目的としています。

ランサムウェアカルテルに加入？

2025年9月、ランサムウェア集団「DragonForce」は、QilinがLockBitと共にランサムウェアカルテルに加わったと発表しました。しかし、この主張の正当性は確認されていません（DragonForceが虚偽を主張している可能性もあり）。

このカルテル化には、ランサムウェアグループ間の連携を強化することで競合を回避し、より結束力と持続性を備えたランサムウェアのエコシステムを形成する意図があると思われます。

仮にQilinがカルテルに参加していなかったとしても、2025年度時点でランサムウェア業界上位の位置にあるQilinの名を借りることで、DragonForceが自組織の存在感を高めようとした可能性も考えられます。そしてこれは、Qilinが一大勢力へと成長したことの証左とも言えます。

日本への影響

Qilinの情報漏洩サイトには複数の日本組織が掲載されており、最初の掲載時期は2023年4月となっています。業種別掲載件数の内訳では、製造業が約半数と最も多く、小売業がそれに続いています。

製造業が被害の大半を占めている理由は明確ではありませんが、あくまで侵入可能な環境を発見して攻撃を行っただけの可能性もありますし、また日本には製造分野の企業数が多いことも一因と考えられます。

参考情報

Qilin Ransomware
https://fortiguard.fortinet.com/threat-actor/6254/qilin-ransomware

Ransomware Roundup: Snatch, BianLian and Agenda (Fortinet)
https://www.fortinet.com/blog/threat-research/ransomware-roundup-snatch-bianlian-and-agenda

Qilin（Agenda）ランサムウェア – 使用される手法
https://attack.mitre.org/software/S1242/

Qilin Top Ransomware Threat to SLTTs in Q2 2025 (Center for Internet Security)
https://www.cisecurity.org/insights/blog/qilin-top-ransomware-threat-to-sltts-in-q2-2025