チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「アサヒの件、うちの会社には関係ない話だよね?」
「Qilinってどんな入り方で侵入してくるの?」
チップスボス、アサヒの事件、ランサムウェアのせいだって聞いたでしゅ!うちみたいな中堅企業も狙われるんでしゅか?
ボスああ、Qilin(キリン)だな。2025年の日本国内ランサム被害134件のうち、22件はこのグループの仕業だ。業種も規模も問わずに狙ってくる。
2026年4月21日、Cisco Japanや国内メディアの分析で、ランサムウェア「Qilin」が日本国内で最も活発な攻撃グループと改めて裏付けられました。
この記事では、アサヒGHD事件の全貌と、中堅企業がすぐ取り入れられる早期検出のポイントを整理します。
情シス担当の方でも、明日から運用に組み込める具体的なヒントが手に入ります。
Qilinは2022年から活動するロシア語圏のRaaS型グループで、日本企業にも深い爪あとを残しています。
2025年9月、アサヒグループホールディングスはQilinの攻撃で国内の受発注・出荷システムが停止しました。
10月には同グループが犯行を主張し、約27ギガバイト(9,300ファイル)の内部文書を持ち出したと発表しています。
生産の一部が止まり、新商品の発売延期や出荷調整も続きました。
日本国内全体でもQilinの被害は134件中22件と突出して多い状況です。
チップス大企業がそこまでやられるなんて…!うちなんて一撃で終わりでしゅ…
Qilinの侵入経路はゼロデイ一辺倒ではありません。既存の穴を丁寧に突くのが彼らの流儀です。
Qilinの標準的な手口は次の流れをたどります。
ネットワーク機器の脆弱性を入り口に、VPN経由で内部に潜り込みます。
その後PsExecやSSH、Cobalt Strikeで横展開し、特権認証情報を奪います。
EDR Killerでセキュリティ製品を無効化したうえで、データを抜き取り、暗号化に進みます。
初期侵入から身代金要求まで、平均で半年ほどの潜伏期間があるとされます。
| フェーズ | 典型的な挙動 |
|---|---|
| 初期侵入 | ネットワーク機器の脆弱性悪用、VPN、スピアフィッシング |
| 横展開 | PsExec、Cobalt Strike、SSH、特権情報の奪取 |
| 回避・破壊 | EDR Killer、データ持ち出し、暗号化と二重恐喝 |
Cisco Japanの分析では、Windowsの「net user」コマンドが短時間で繰り返し実行された場合に注目すべきと指摘されています。
具体的には15分以内に3回以上の実行を捉えるSigmaルールが、Qilinの内部偵察を見抜く入り口として紹介されました。
アラート過多を避けるには、勤務時間外の異常コマンドに絞り込む設計がおすすめです。
ボスEDRやSIEMを入れていても、ルールが未整備なら素通りされるケースは多い。ログの読み方こそが勝負だな。
Qilinは日本を「稼げる市場」と見て攻撃を継続しており、被害は企業規模を問いません。
VPN装置の脆弱性管理、特権コマンドの監視、そしてログを読み解く運用体制こそが、何よりの防御線となります。
アサヒ事件はひとごとではなく、次に狙われるのは自社かもしれないという前提で備えておきたいところです。
チップスまずは「net user」の監視ルールから試してみるでしゅ!
Qilinのような最新脅威に対抗するには、実践的なセキュリティ人材が欠かせません。
スプラッシュエンジニアリングでは、インシデント対応や脅威ハンティングを担うセキュリティ案件を多数ご紹介しています。
