サイバーニュース.jp

世界のサイバーなニュースを配信

Qilinランサムウェア、ゴースト・ブレットプルーフ・ホスティングを悪用し世界中で攻撃を激化

カテゴリ:

, , , , , , , , ,

はじめに

Qilinランサムウェアは、サービスとしてのランサムウェア(RaaS)として急速にその存在感を増しており、ゴースト・ブレットプルーフ・ホスティング(BPH)プロバイダーの秘密ネットワークを悪用することで、世界的な恐喝キャンペーンを激化させています。これらの不正なホスティングサービスは、秘密保持に有利な法域に拠点を置き、複雑なペーパーカンパニー構造を通じて運営されており、Qilinのオペレーターやアフィリエイトがマルウェア、データ漏洩サイト、コマンド&コントロール(C2)インフラをほぼ免責状態でホストすることを可能にしています。

2025年9月下旬には、日本の大手醸造会社であるアサヒグループホールディングスがQilinの攻撃により約2週間にわたり機能不全に陥り、この秘密裏のホスティングフレームワークが現実世界に与える影響が浮き彫りになりました。

Qilinランサムウェアの進化と手口

2022年半ばに「Agenda」という名前で登場して以来、Qilinは洗練されたRaaSプラットフォームへと進化しました。アフィリエイトには、攻撃の設定、被害者の管理、身代金交渉を可能にするユーザーフレンドリーなウェブパネルを提供しています。Qilinのコア開発者は、GolangとRustで書かれたランサムウェアのコードベースを維持し、国際的なアフィリエイトネットワークに以下のツールを提供しています。

  • スピアフィッシングツールキット
  • リモート監視および管理(RMM)エクスプロイト
  • 二重恐喝機能

アフィリエイトは身代金支払いの大部分(通常80〜85%)を保持し、オペレーターは15〜20%の取り分を維持します。

ブレットプルーフ・ホスティングの役割

Qilinの回復力の中心にあるのは、ゼロ・本人確認(KYC)チェック、濫用対策の欠如、法執行機関によるテイクダウンへの抵抗を約束するブレットプルーフ・ホスティングプロバイダーへの依存です。2024年4月には、QilinのTorホスト型データ漏洩サイトが、香港のCat Technologies Co. LimitedとサンクトペテルブルクのRed Bytes LLCに関連するIPアドレスを参照していました。これらは、ディレクターのLenar Davletshinが運営するBPHコングロマリットに組み込まれた企業です。

他にも、BearHost(現在はvoodoo_serversにリブランド)、Chang Way Technologies、IPX-FZCOなどのホスティングブランドがQilinのインフラに関連付けられており、多くの場合、住所、管理者、または悪意のある偵察のために設計された自動スキャンサーバーを共有しています。これらのBPHオペレーターは、キプロス、ロシア、香港にシェルエンティティを設立することで、グローバルな規制裁定を利用し、透明性と濫用報告を回避しています。

旭グループへの壊滅的攻撃

2025年9月29日、Qilinは日本の最大手飲料メーカーであるアサヒグループホールディングスにランサムウェア攻撃を仕掛けました。我々の評価によると、この侵害の根本原因は、過去の悪意のある感染の兆候に基づき、安全でないリモートアクセスとビジネスメール詐欺(BEC)であった可能性があります。

この攻撃は、30の工場におけるデジタル受注処理、生産スケジューリング、出荷を麻痺させ、アサヒは手作業による紙ベースの受注処理に戻ることを余儀なくされました。主要な小売業者やレストランは、アサヒ製品の全国的な品不足を報告し、同社は12の新製品の発売を延期しました。アサヒは約27GBのデータ流出を確認し、停止が続けば国内営業利益が83%減少する可能性に直面しました。10月中旬には、Qilinは盗まれたデータに対して1,000万米ドルを要求し、中間業者を介さずに被害者への圧力を加速させました。

この事件は、グローバルな車両組立ラインを停止させ、1日あたり推定7,200万ポンドの売上損失をもたらしたジャガー・ランドローバーへのTrinity of Chaos攻撃と類似しています。Qilinが高価値の製造業や重要インフラを標的とすることは、混乱が最大の運用上および財政的損害をもたらす産業に戦略的に焦点を当てていることを示しています。

世界的な拡大と今後の脅威

2025年10月を通じて、Qilinはヨーロッパ、北米、アフリカ、アジアで新たな被害者を発表しました。QilinとBPHオペレーターとの共生関係は、ロシア語圏と香港の法域にまたがる地下コングロマリットとして統合され、サイバーセキュリティ防御者にとって手ごわい課題を提示しています。最近の開示には、スペインの税務行政庁、いくつかの米国の地方自治体および医療提供者、フランスの地方自治体、アフリカの保険技術企業が含まれます。

このグループは、大規模な公共部門組織と重要なサプライチェーンの民間企業との間でバランスを取りながら、ターゲットを多様化しているようです。過去の北朝鮮アクターの採用は、Qilinが外国のアフィリエイトとの協力をいとわないことを示唆しており、国家支援型または独立したアクセスブローカーとの進化する協力を示唆しています。

これらのホスティングエコシステムを破壊するには、BPHサービスを支えるシェルカンパニーに対する国際的な法執行機関と規制当局の協調的な圧力が必要となるでしょう。それまでは、Qilinはこれらのゴーストホスティングプラットフォームを利用して、さらなる高影響のランサムウェアキャンペーンを展開する構えです。

元記事: https://gbhackers.com/qilin-ransomware-2/

投稿をさらに読み込む