Qilinは突然現れたわけではない。同グループは2025年にハイテンポなランサムウェア・アズ・ア・サービスへと成熟し、公共機関、教育機関、医療機関、製造業、大企業に攻撃を拡大した。複数のインテリジェンス・ラウンドアップによると、Qilinは今年最も活発なグループの1つであり、毎月の被害者投稿のシェアは2桁、前年比成長率は3桁となっている。フランスと米国のセキュリティチームは、地方議会や学区、保安官事務所、製造業者など、この急増を直接感じている。
麒麟とは誰か?
Qilinは 古典的なRaaSモデルを採用している。コア・オペレーターは、malware、リーク・サイト、交渉ポータルを管理する。アフィリエイトは、最初のアクセスを獲得し、横方向に移動してデータを盗み、ロッカーを展開し、公開の脅威で被害者に圧力をかけます。公開されたリサーチやベンダーの分析によると、Qilin は Windows、Linux、ESXi 対応のペイロードを使用しており、元々は Agenda ファミリに関連しています。
要するに、特定のアフィリエイトや侵入ベクトルは異なるかもしれないが、Qilinの作戦アークは一貫している。クレデンシャルによるアクセス、静かな横移動、バッチ展開、データ窃盗、そして恐喝が予想される。
麒麟の攻撃の解剖学
Qilinの活動は、認識可能な活動の連鎖に従っている。各フェーズでは、従来のツールでは気づかれないことが多い発見の機会が明らかになる。
以下の各ステップは、AI主導 アナリティクスが浮き彫りにすることができる振る舞い 指紋を表しているが、ルールベースのツールは見落としがちである。
1.初期アクセス
麒麟の関連会社は、ソーシャル・エンジニアリングとアクセス搾取を駆使してターゲットに侵入する。
一般的なテクニックには以下のようなものがある:
- スピアフィッシング:標的型 フィッシング 悪意のあるペイロードやクレデンシャル・ハーベスティング・リンクを配信するメール。Qilin は、信頼できるように見せかけるために、正当なクラウドファイル共有プラットフォームを悪用することがよくあります。
- リモート監視・管理(RMM)の悪用:攻撃者は、AnyDesk や ConnectWise などの信頼できる RMM ツールを乗っ取ったり、模倣したりして、IT サポートを装って永続性を獲得します。
- 横の動きと搾取一旦侵入すると、Qilin は接続されたシステムを調査し、ネットワーク共有やドメインの信頼関係を横切って、脆弱な認証情報や設定ミスを探します。
- 多要素認証(MFA)爆撃:繰り返されるMFAのプッシュ要求がユーザーを圧倒し、不正ログインを承認するようだます。
- SIM スワッピング:場合によっては、麒麟の関連会社が SIM スワッピングを使用し、MFA トークンを横取りする。
なぜ効果があるのか これらの手法はいずれも、 malware シグネチャではなく、正当なユーザー行動を悪用するもの です。継続的なアイデンティティ分析と振る舞い ベースライニングがなければ、SOCチームはこれらを「通常のログイン」と見なします。
2.足場の確立と特権のエスカレーション
アクセス権を得た後、麒麟の関連会社は支配権の強化に集中する:
- ローカルまたはドメインの管理者アカウントを新規作成し、永続性を確保する。
- 継続的な接続を維持するためのリモートシェルやスクリプトの 導入。
- エンドポイントディフェンスおよびロギングサービスを無効化または改ざんする。
多くの場合、アンチウイルスを無効にし、ロギングを一時停止し、 スケジュールされたタスクやサービスの作成を通じてセカンダリ・アクセス・ポイントを設置する 。この段階は数日続くこともあり、機密データがどこにあるかを特定するのに十分な時間を与える。
検出のギャップ: これらの活動は、通常のITワークフローに溶け込んでいます。通常とは異なる特権の昇格や特権の再利用を識別するために訓練されたAIモデルがなければ、このような異常が優先されることはほとんどありません。
3.横方向の動きと領域制御
ネットワークに侵入すると、麒麟は意図的に動き、完全な管理支配権を獲得する。彼らが使うのは
- リモート・デスクトップ・プロトコル(RDP)とWindows Management Instrumentation(WMI)によるホスト間ピボット。
- Active Directoryを列挙 し、価値の高いシステムとドメインコントローラーを特定する。
- グループ・ポリシー・オブジェクト(GPO)を悪用して、ペイロードをネットワーク全体に配布する。
検知の課題:これらの行動の多くは、正当な管理者機能を反映したものです。アイデンティティと権限の関係を継続的にモデル化するプラットフォームだけが、このような行動をリアルタイムで浮き彫りにすることができます。
4.データ流出
暗号化の前に、Qilinは二重の恐喝のために機密データを組織的に流出させる。一般的なツールには、Rclone、SMB共有、クラウドストレージAPIなどがあります。
このような転送は通常、高い権限を持つサービス・アカウントやバックアップ・サーバーから行われます。攻撃者は、クラウドエンドポイントにアップロードする前にアーカイブを暗号化または圧縮し、検出の可能性を低下させます。
5.衝撃と暗号化
2025年、Qilinはランサムウェアのペイロードに大幅なアップグレードを導入し、性能と回復力の両方を向上させた:
暗号化の強化
- AES-256-CTR: カウンター(CTR)モードで256ビット鍵を使用し、高速対称暗号化を可能にする。
- Optimal Asymmetric Encryption Padding (OAEP):RSAキーのラッピングを強化し、暗号攻撃に耐える。
- AES-NIの最適化: x86 AES新命令を活用し、最新のCPUでほぼ瞬時に暗号化。
- ChaCha20Stream 暗号: 特定の通信やファイルタイプに対して、高速で安全な暗号化を実装。
これらの機能により、鍵なしでの復号化はほぼ不可能となる。並列化された暗号化と組み合わせることで、ネットワーク全体を数分でロックすることができる。
セキュリティ回避
Qilinの亜種は、フォレンジックやインシデント対応を妨げるように設計されている:
- Windowsのイベントログを消去 し、実行の痕跡を消す。
- ペイロードの証拠を消去するため、暗号化後に自身を削除する 。
- 実行前にセキュリティプロセスを終了させ、テレメトリ報告を無効にする。
バックアップの破損
- Windows ボリュームシャドウコピー(VSS)を削除し、システムの復元を防止します。
- ネットワークベースのバックアップを標的とし、スナップショットを破損または暗号化することで、最大限に活用する。
Qilinが悪用するセキュリティ・ギャップ
従来のツールは、シグネチャ、静的インジケータ、またはイベント後の相関に依存していました。Qilinは、アイデンティティの行動、横の動き、流出の遠隔測定が統一されていない環境で成功を収める。
エージェント・ベースの検知はハイブリッド環境では苦戦を強いられる - 管理されていないサーバー、IoT、SaaSアプリケーションは監視されないことが多い。クレデンシャル・ベースのアクセスは、エンドポイントの検知を完全に回避します。また、アラート疲労は、封じ込めのトリガーとなるはずの早期の手掛かりを振る舞い しまう。
SOCチームは、ネットワーク、アイデンティティ、クラウドにまたがる攻撃者の行動に関する統一されたビューを必要としています。
視認性に失敗しても、AIが検知すれば結果は変わる
Vectra AI Platformは、シグネチャではなく挙動に着目することで、ランサムウェアの前兆を検知します:
- 非管理システム、ESXi、クラウドインフラストラクチャを含むハイブリッド環境をエージェントレスで可視化します。
- ID、ネットワーク、SaaS、クラウドのサーフェスを横断するAI主導の相関関係により、クレデンシャルの不正使用、横移動、流出を検知 します。
- リアルタイムのトリアージと優先順位付けにより、弱いシグナルを1つの信頼性の高いインシデントに統合。
- 既存のSIEM、SOAR、EDRツールとのシームレスな統合により、レスポンスを加速。
Vectra AIは、攻撃者の行動を指標を待つ代わりにマッピングすることで、SOCチームは暗号化やデータ流出が発生する前に、Qilinのようなキャンペーンを阻止することができます。
Qilinの2025年の成功は、ランサムウェアがもはや新しい脆弱性に依存しないことを証明している。それは ツール間の盲点に依存するのです。ID、ネットワーク、クラウドの挙動を継続的に監視するAI主導 検出機能により、SOCチームは暗号化が始まる前に、最新のランサムウェア運用者を定義するアクションを明らかにすることができます。
Vectra AIプラットフォームがどのように他社が見逃すものを検知するかをご覧ください。セルフガイドデモをご覧いただき、行動主導の検知を実際に体験してください。