チーリンについて

Transcript

1. ぐっち Qilin (チーリン ) について #年忘れセキュリティ 2025 年12 月12 日（金）

2. 本プレゼン資料について（免責事項） • 2025 年12月12日時点の情報を元に作成しています。 • 本プレゼン資料は、別途添付している参考文献（おおよそ 15件のレポート）を 元に、筆者の観点及び MITRE のフレームワークで再整理したものです。加えて、

   本日の会場であるマイクロソフト社のソリューションを切り口に、筆者の見解 も付記していますが、その対策についての完全性を保証するものではありませ ん。 • 本プレゼン資料では Qilin の過去の事案で行われた攻撃手口の概要をまとめてい ますが、常に Qilin 及びそのアフェリエイトは進化を続けており、手法をアップ デートし続けているという点はご認識いただけたら幸いです。 • 誤りや誤植については最新の注意を払っておりますが、もし至らない点があり ましたら優しく教えていただけたら幸いです。 • 公開情報を加工しているだけなので、目新しい話はなく、大した資料ではあり ませんが、誰かの参考になれば幸いです。 1

3. まとめ（レポートを見た、ただの感想です） • Qilin 及びそのアフェリエイトは、 サイバー攻撃の王道的手法（ Classic ）をか なり磨きこみ、手順化した、 やっかいな相手であることを再認識しました。 ※トリッキーな攻撃（例：ゼロデイ、

   AIエージェントを前面に出した攻撃、デ ィープフェイク）とかは今のところ感じなかった。 • ビジネスモデル（エコシステム）を活用しながら、王道的手法への対策が遅れ ている組織を大量に攻撃して、他のランサムグループと比較して類を見ない成 果を上げている印象を受けた。 • Human -Oparated Ransomware であり、複数の手口を活用してくるので、こ れをやれば大丈夫というものはないが、 基本的なセキュリティ対策 を磨いてい くことが重要だと感じた。 （当たり前の話に帰結する） 2

4. Qilin (チーリンと呼ぼう※) の概要 ※個人的こだわりです 起源と歴史 : - 2022 年7月に初めて観測され、当初は「 Agenda

   」として活動していた - 2025 年にはLockBit 、 DragonForce とのパートナーシップも報道されている 活動形態: - RaaS （ Ransomware -as-a-Service ） / 二重脅迫型 / Human Operated Ransomware - アフィリエイト（実行犯）の報酬は身代金の 80-85% とされ、他のグループに比べて高い - 「弁護士に相談」オプションを提供し圧力をかける - 米国（北米）の企業が最も攻撃の被害にあっている 技術的特徴: - Go→Rustで書かれている - カスタマイズ性が特徴（後述） - Windows / Linux / ESXi などクロスプラットフォーム性 主なアフェリエイト :Pistachio Tempest, Octo Tempest 参考： Qilin Ransomware -Blackpoint Cyber 参考： Researchers infiltrate Qilin ransomware group, finding lucrative affiliate payouts | The Record from Recorded Future News 参考： 2025 年第3四半期のランサムウェアとサイバー恐喝 3 Affiliates Qilin Victims

5. Qilinのアフェリエイトの攻撃対象 Qilin のアフェリエイトの攻撃対象は幅広いが、製造業での被害が多発している傾向がみられる。 幸い現在の主なターゲットは北米だが、製造業が盛んな日本にとって大きな脅威である。 出所①： 複数の Qilin ケースから分かる最新の攻撃手法 -Cisco Japan

   Blog 出所②： Microsoft Digital Defense Report 2025 | Microsoft 出所③： cloud.google.com/blog/ja/topics/threat -intelligence/m -trends -2025/?hl=ja 出所④： サイバー空間をめぐる脅威の情勢等｜警察庁 Web サイト ※集計の切り口や範囲が異なるので、比べて意味のあるかはわかりませんでしたが、まあざっくり傾向はわかるかと。 4 脅威の情勢等 （警察庁） M-Trends (Mandiant) Digital Defense Report (MS) Qilin (Cisco レポートより ) 1位 政府機関 （ 17% ） 製造業 （ 23% ） 2位 情報技術 （ 17% ） 技術サービス業 （ 18% ） 3位 研究・教育機関 （ 11% ） 卸売業 （ 10% ） 製造業 （ 45% ） 金融 (17.4%) 卸売・小売業 （ 14% ） ビジネス /プロフェッシ ョナル サービス (11.1%) 建設業 （ 10% ） ハイテク (10.6%) 4位 NGO （ 11% ） 医療 （ 8% ） 情報通信 （ 9% ） 政府機関 (9.5%) 調査スコープ 全世界 Qilin の被害企業 のみ抜粋 日本国内 全世界

6. 1. Reconnaissance (偵察) 他の攻撃者グループでも見られる以下のような手法で情報収集する。 • T1595 -Active Scanning ( アクティブスキャン

   ) • T1598 -Phishing for Information ( 情報収集のためのフィッシング ) • T1593 -Search Open Websites/Domains ( 公開ウェブサイト /ドメインの検索 ) 参考： Resecurity | Qilin Ransomware and the Ghost Bulletproof Hosting Conglomerate 参考： Qilin Ransomware -Blackpoint Cyber 5 スキップ

7. 2. Resource Development (リソース開発) T1583 -Acquire Infrastructure ( インフラの獲得 )

   • 防弾ホスティングサービスを利用する傾向が強い。これは、法執行機関からの削除要請や情報 開示請求を無視することで知られており、攻撃者にとって安全な活動拠点となっている。 • C2通信運用には、正規通信に偽装するためのドメイン（例： cloudflariz [.]com ）が取得される。 T1588 -Obtain Capabilities ( 能力の獲得) • Qilin は、自社開発のランサムウェアに加え、サードパーティ製のツール（ Cobalt Strike 、 Mimikatz 、 Rclone 等）や脆弱性を攻撃リソースとして積極的に取り込んでいる。 T1587 -Develop Capabilities ( 能力の開発) • Qilin の開発チームは、 Golang から Rustベースの亜種へと移行を進めており、リバースエンジ ニアリングの難易度を高めている。また、 Win/Linux/ ESXiという複数を対象とする。 • 暗号化対象のファイル拡張子、除外フォルダ、プロセス停止リスト、暗号化モード（全暗号化、 部分暗号化など）を詳細にカスタマイズする機能が開発・提供されている（らしい）。 参考： Resecurity | Qilin Ransomware and the Ghost Bulletproof Hosting Conglomerate 参考： Qilin Ransomware -Blackpoint Cyber 6 スキップ

8. 3. Initial Access (初期アクセス) T1566 – Phishing • 標的組織の従業員に対して、 悪意のある

   添付ファイル やリンク を含む スピアフィッシングメールを送信 し、踏ませて攻撃の足掛かりを作る。 T1190 – Exploit Public -Facing Application • 境界に設置された VPN機器の脆弱性を悪用し、認証プロセスを経ずに内部へのアクセスする。 • 特に、 Fortigate （ CVE-2024 -21762/CVE-2024 -55591 ）などの 既知の脆弱性を狙う傾向が確認 ができた。（ ×ゼロデイ） T1078 -Valid Accounts • 初期アクセスブローカー（ IAB）から入手したと思われる入手した正規の認証情報を使用して、 VPNや外部公開されている RDPにログインする。 参考： Qilin ランサムウェアが、リモート管理ツールと BYOVD手法を利用し、 Windows システム上で Linux 版を展開 | トレンドマイクロ (JP) 参考： Blog: Qilin Ransomware: Technical analysis, from initial access to beaconing 7 Qilin のアフェリエイトは、 複数の侵入経路を使い分ける 柔軟性を持っているため、 ランサムウェア＝ VPNと決めつけるのは危険。フィッシングがそれなりに多い。 リンクのクリック先：

9. 余談：とはいえ境界オンプレVPNから入られるケース多 エンプラだと海外拠点なども含めてリモートアクセスに VPNを使うと、リスクにリターンが見合 わない局面に来ているように感じる。条件（コスト・パフォーマンス・プロトコル等）が許す場 合にはZTNAに移行したいところ。 参考： Microsoft Entra Private Access

   | Microsoft Security 8 オンプレミス環境 コネクタ アクセスポイントへのアウトバウンド通信のみ開けて、 FW にインバウンドの穴を開けないので比較的セキュア DMZ VPN LAN ZTNAの アクセスポイント （クラウド） Agent スキップ

10. 4. Execution (実行) T1059 -Command and Scripting Interpreter ( コマンドおよびスクリプトインタープリタ

    ) • PowerShell やWindows Command Shell (CMD) などを使い、ツールをインストールする。 • Linux および ESXi環境においては、シェルスクリプト（ .sh）でマルウェアの実行制御を担う。 参考： Qilin Ransomware: Tactics & Attack Methods 9 スキップ OS標準のツールやスクリプト言語を悪用する 「環境寄生型（ Living off the Land ）」戦術を多用する。

11. 5. Persistence (永続化) T1053 -Scheduled Task/Job ( スケジュールされたタスク /ジョブ )

    • Qilin は、 Windows タスクスケジューラを悪用して、マルウェアやバックドア（ C2ビーコンな ど）を実行させるようにする。 • ランサムウェアの実行ファイルや、 C2通信を行うビーコンを起動するタスクを作成する。 • ADを掌握した場合には、 GPOを利用して、ドメイン参加端末全体に対して悪意のあるスケジュ ールタスクを一斉に配布・登録する。 T1547 -Boot or Logon Autostart Execution ( ブートまたはログオン時の自動実行 ) • ユーザーのスタートアップフォルダに、マルウェアへのショートカットを作成し、ユーザーが ログインするたびに自動的に実行されるように設定する。 • また、レジストリの Run キーやRunOnce キーにエントリを追加し、 OS起動時の自動実行を確 実にする。 T1136 -Create Account ( アカウント作成 ) • 侵害したサーバー上にアカウントを作成し、バックドアとしてのアクセス経路を確保する。 • 「 Supportt 」という名前のバックドア管理者アカウントの作成が確認されています 10 スキップ

12. 6. Privilege Escalation (権限昇格) T1134 -Access Token Manipulation ( アクセストークン操作

    ) • 既に高い権限で動作しているプロセス（ lsass.exe 、 winlogon.exe 、 wininit.exe など）からアク セストークンを窃取・複製し、自身のアプロセスに適用することで権限を昇格させる。 • このプロセスには、内蔵された Mimikatz モジュールや同等の機能が利用される。これにより、 ユーザー権限で侵入した後、 SYSTEM権限やドメイン管理者権限へと昇格を図る。 T1068 -Exploitation for Privilege Escalation ( 権限昇格のための悪用 ) • 後述（ →一部重複するため。） 11 スキップ

13. 7. Defense Evasion (防御回避) T1562 -Impair Defenses ( 防御機能の無効化 )

    • BYOVD: Qilin は、「 Killer Ultra 」ツールなどを用いて、 既知の脆弱性を持つ正規の署名済みド ライバをターゲットシステムに持ち込み、ロードさせる。そのドライバの脆弱性を悪用してカ ーネルメモリを操作し、 EDRやアンチウイルスのプロセスを強制終了する。 • 正規の署名済みドライバでありながら脆弱性を持つものを利用するため、 Windows のド ライバ署名検証をそのまま通過する。 • システムをセーフモードで再起動させる設定を行い、サードパーティ製のセキュリティドライ バやサービスがロードされない状態でランサムウェアを実行する手法も採用されている。 →これにより、 EDRの監視外で安全かつ確実に暗号化を完了させることができる。 • ESXi 環境においては、 esxcli vm process kill コマンドを使用して、仮想マシンに関連するプロ セスを強制終了させる。 T1027 -Obfuscated Files or Information ( ファイルや情報の難読化 ) • コードを Goから Rustへ移行したことは、解析回避の観点でも脅威になっているらしい。 参考： Qilin ランサムウェアが、リモート管理ツールと BYOVD手法を利用し、 Windows システム上で Linux 版を展開 | トレンドマイクロ (JP) 参考： Message from AttackIQ 12

14. 参考：EDRを止められないための主要な対策（MS編） 近年ではEDRを止めに来る攻撃が後を絶ちません。参考までに MDEの基本的な対策を紹介します。 • 改ざん防止（マスト） • Defender ポータルでポチっとな • 管理者権限の最小化

    • Defender Antivirus がパッシブモードになったのを検知 • MSによると Defender Antivirus は既知のQilin のランサムウェアを検知する • 一方で、サードバーティのアンチウィルスがインストールされると Defender Antivirus 自 動的にパッシブモードになる仕様である • 攻撃面の削減（ ASR） • 「悪用された脆弱な署名付きドライバーの悪用をブロックする」ルールがあったりする • Lsass.exe の資格情報の読み取りなどはカジュアルにアラートが上がるので、大規模での 運用はかなり大変ですが、監査モードで動かしてログを検出するようにするところから 始めるのが良さそう。 参考： 改ざん防止機能を使用してセキュリティ設定を保護する -Microsoft Defender for Endpoint | Microsoft Learn 参考： 攻撃面の減少ルールを有効にする -Microsoft Defender for Endpoint | Microsoft Learn 13 攻撃者は上記の対策の上を行こうとするため、 100 ％は防げませんが 上記をやるだけでもリスクはだいぶ下げられる

15. 8. Credential Access (資格情報アクセス) T1003 -OS Credential Dumping • lsass.exe

    （ Local Security Authority Subsystem Service ）プロセスのメモリ領域にアクセスす る。そこから、プレーンテキストのパスワード、 NTLM ハッシュ、 Kerberos チケットなどを抽 出する。これにより、攻撃者は「 Pass the Hash 」や「 Pass the Ticket 」攻撃を実行し、パスワ ードを知らなくても他のサーバーへ認証を通すことが可能になる。 • ドメインコントローラーへの侵入に成功した場合、 Active Directory のデータベースファイルで ある ntds.dit をダンプし、ドメイン内の全ユーザーアカウントのハッシュ情報を取得する試み が行われる。 T1555 -Credentials from Password Stores • 2024 年以降に観測された Qilin の活動において、 Google Chrome などのウェブブラウザに保存 された IDとパスワードを窃取する機能（ Chrome Stealer ）の実装が確認されているとのこと （私が実際に解析したわけではないですが・・・） →私の観測範囲ではオンプレ環境への被害が目立つと感じてはいるが、オンプレだけではな く、クラウド環境を侵害できるようなケイパビリティを兼ね備えたている点が非常に厄介。 参考： Qilin Ransomware Explained | Understanding Cyber Attacks & Defense | Qualys 14 スキップ

16. 9. Discovery (探索) T1016 -System Network Configuration Discovery ( システムネットワーク構成の探索

    ) • 感染したホスト上で、 ipconfig /all 、 arp -a、 route print などの標準コマンドを実行し、環境情 報を収集する。 • これにより、ネットワークセグメントの構成や、他のネットワークへのルーティング経路を把 握する。 T1018 -Remote System Discovery ( リモートシステムの探索 ) • net view コ マンドや ping スイープ、または PowerShell のTest-Connection コマンドレットを使 用して、ネットワーク上で稼働しているアクティブなホストを特定する。 • Qilin のランサムウェアには、近隣の Active Directory 参加デバイスを自動的に列挙する機能が 組み込まれているらしい。 • nltest /dclist :などのコマンドを使用し、ドメインコントローラーの情報を散策する。 15 多くの攻撃者が利用する手段ではあるが、ここで見つけられるかが壊滅的な被害が及ぶか否かの 分かれ目になってくる気がする

17. 参考：探し回っているのを如何に補足するか（難いけど） 探索フェーズで見つけるのは（特にエンプラだと）大変だが、生死の分かれ目になることがある。 16 E5がある（ありがたい）組織は MDI で一部のアクティビティを補足できる。 ない組織も Windows イベントログ（ Security

    ）などをフル活用して何とか補足しよう。。。

18. 参考：探索の際によくある動き 17 Account and Domain Discovery ： • net group

    "domain admins" /domain ドメイン管理者グループのメンバーを列挙し、特権ア カウントを特定 • nltest /domain_trusts ドメイン間のトラスト関係を列挙し、横展開(Lateral Movement)のターゲットを特定 • nltest /dclist: ドメインコントローラーのリストを取得 • Import-Module ActiveDirectory Get-ADComputer -Filter * | Select-Object -ExpandProperty DNSHostName: ドメイン参加している全コンピュータのホスト名を体 系的に列挙 • whoami /priv - ユーザー権限の確認 • tasklist /FI "IMAGENAME eq explorer.exe" /FO CSV /NH - プロセス列挙 Network and System Scanning ： • Nmap: オープンポートとサービスの発見 • ipconfig /all: ネットワーク構成情報の取得 • arp -a: ARPキャッシュからローカルネットワーク上の ホストを特定 • route print: ルーティングテーブルの確認 • net view: ネットワーク上の共有リソース列挙 • ping / PowerShell Test -Connection: アクティブホスト の特定 どの攻撃者でも利用する手段ではある。 Qilin のアフェリエイトはたくさんおり、 洗練されていないアフェリエイトはガチャガチャしがち。そこを補足して封じ込めする。

19. 参考：ADを守れ 参考： Active Directory Security -Qiita Advent Calendar 2025 -Qiita

    18 ADのセキュリティに関しては、最近アドベントカレンダーでたくさんの記事が上がっている。

20. 10. Lateral Movement (水平展開) T1021 -Remote Services ( リモートサービス )

    • 窃取した資格情報を用いて RDPやSMB（ 445 ）、 SSH（ 22）を利用して、管理共有 （ ADMIN$ 等）にアクセスし、ファイル転送やリモートからのコマンド実行を行う。 • 特に VMware vCenter へのアクセス権奪取を優先し、管理コンソール経由または SSHによる ESXiホストへの直接侵入を行う。 T1570 -Lateral Tool Transfer ( ツールの水平転送 ) • PsExec等の正規管理ツールを悪用し、ペイロードをリモートホストへコピー・実行。 • Cobalt Strike: 感染拡大の中継点として Cobalt Strike Beacon を展開し、 C2サーバーからの命令 でさらに奥深くへ侵入する手法も頻繁に観測される。 参考： Qilin’s 2025 Playbook, and the Security Gap it Exposes by Lucie Cardiet 参考； Qilin on the rise: what Australian organisations need to know 参考： Blog: Qilin Ransomware: Technical analysis, from initial access to beaconing 19 スキップ

21. 11. Collection (収集) T1005 -Data from Local System ( ローカルシステムからのデータ

    ) • 感染した端末内のローカルドライブをスキャンし、特定の拡張子を持つファイルを標的として 収集する。 • 検知を避けるため、専用の閲覧ツールを使わず、「 notepad.exe 」や「 mspaint.exe 」などとい った Windows 標準ツールを使って機密情報の中身を手動で選別（トリアージ）する痕跡が確認 されている。 →結構まめなアフェリエイトもいるんですね。 T1039 -Data from Network Shared Drive ( ネットワーク共有ドライブからのデータ ) • マップされたネットワークドライブや、アクセス可能な共有フォルダをスキャンし、組織の共 有データを大量に収集する。 • ファイルサーバーは組織の知的財産や業務データが集中しているため、よく狙ってくるし、リ ークサイトによく掲載されてしまっている。 • 収集したデータは、持ち出し（ Exfiltration ）を効率化するために、 WinRAR などの正規ツール を用いて圧縮・パスワード保護されるケースが多い。 参考： 複数の Qilin ケースから分かる最新の攻撃手法 -Cisco Japan Blog 20 スキップ

22. 参考：Qilinのアフェリエイトで使われていたツールたち • Cobalt Strike: 商用ペンテストツール • Impacket:NWプロトコル操作ツール • MegaTools: Mega.nz用CLIツール

    • MeshAgent: リモート管理エージェント • Mimikatz: 認証情報抽出ツール • NetScan: ネットワークスキャンツール • Plink: SSHトンネリングツール • PsExec: リモートコマンド実行ツール • Rclone: クラウドストレージ同期ツール • s5cmd: S3ファイル管理ツール • CyberDuck: ファイル転送ツール • SharpHound: ADデータ収集ツール • Splashtop: リモートデスクトップソフト • AnyDesk : リモートデスクトップソフト • Chrome Remote Desktop • Distant Desktop : リモートデスクトップ • GoToDesk : リモートデスクトップ • QuickAssist : リモートデスクトップ • ScreenConnect : リモートデスクトップ • WinSCP: ファイル転送クライアント • PreppyLoader: 独自のDLLローダー • SplitLoader: 独自のDLLローダー • LunarSight: 画面キャプチャツール 21 オリジナルのランサムウェアだけではなく、多彩なツールを使って攻撃してくる。 スキップ

23. 12. Command and Control (C2: 指揮統制) T1071 -Application Layer Protocol

    • Qilin のバックドアやビーコンは、 HTTP/HTTPSプロトコルを利用して C2サーバーと通信を行う。 • 通信先として、正規のドメインに見せかけた cloudflariz [.]com のようなドメインを使用するこ とで、ファイアウォールやプロキシのフィルタリングを通過させ、ネットワークのモニタリン グで正常な動作を装う。 T1219: Remote Access Software • Qilin のアフェリエイトは正規の RMM（ Remote Monitoring and Management ）ツールをや C2 や永続化の手段として悪用する。 →昔から使われていたものの、 2024 年ぐらいからインシデントの現場では見ないことはないぐ らい使われているように感じる。 参考： Blog: Qilin Ransomware: Technical analysis, from initial access to beaconing 参考： Qilin ランサムウェアが、リモート管理ツールと BYOVD手法を利用し、 Windows システム上で Linux 版を展開 | トレンドマイクロ (JP) 22 AnyDesk 、 Splashtop 、 ScreenConnect などの RMM ツールは署名されており、 正規の業務でも使用されるため、 EDR等のデフォルト設定で検知できる可能性が極めて低い。

24. 参考：RMMツールを補足する ネットワーク機器や EDRで明示的な設定を入れて対処しよう。 • 例： SWGやCASBの場合、 RMMというカテゴリがあったりするのでそれをブロック。 • 例： Defender

    の場合、 Advanced Hunting のクエリ・カスタム検出で捕捉。 ※エンプラの場合、ネットワーク機器を通らない通信もあるので EDRで網掛けしておくと見つけやすい。 参考： Microsoft Defender for Endpoint でリモートマネジメントモニタリング（ RMM）ツールによる脅威を検知する 23

25. 13. Exfiltration (情報持ち出し) T1567 -Exfiltration Over Web Service ( ウェブサービス経由の持ち出し

    ) • データの持ち出しにおいて Rclone / CyberDuck / s5cmd といったツールを利用する。 • 多数のクラウドストレージサービスに対応した正規のコマンドラインツールであり、攻 撃者はこれを悪用して、自身が管理するクラウドストレージ（ Google Drive, Dropbox, Amazon S3 など）へデータをアップロードする。 • 通信はHTTPSで暗号化されており、かつ著名クラウドサービスへの接続であるため、 FW やIPSでブロックすることが難しい。 →CASB によるテナント制御や、 EDRによる "大量のデータ読み込みを行うプロセス " の 振る舞い検知、またはネットワークレベルでの Traffic Analysis ( アウトバウンドトラフィ ックの急増検知 ) が不可欠である。 • 加えて、一般的に、 Rclone 等の持ち出しツールが svchost.exe のような正規プロセス名 っぽい名前にリネームされて実行される。 https://unit42.paloaltonetworks.com/ja/royal -ransomware/ 参考： Qilin’s 2025 Playbook, and the Security Gap it Exposes by Lucie Cardiet 参考： Exposing Data Exfiltration: Detecting LOLBins , TTPs, and Ransomware Tactics | Huntress 参考： Qilin Ransomware: Tactics, Attack Methods & Mitigation Strategies 24 持ち出しは、暗号化が実行される数日から数週間前に完了していることが多いため、 そのトラフィックを抑えるのが最後の砦（ただし他の攻撃者は暗号化後も持ち出す輩もいる）

26. 14. Impact (影響) - Part 1 T1489 -Service Stop &

    T1490 -Inhibit System Recovery • Veeam バックアップの脆弱性悪用（ CVE-2023 -27532 ） • Qilin がCVE-2023 -27532 の脆弱性を悪用して Veeam Backup & Replication から暗号化さ れた認証情報を取得し、バックアップインフラへアクセスしデータを削除する。 • Windows ボリュームシャドウコピーの削除 • 具体的なコマンドとして「 vssadmin.exe Delete Shadows /all /quiet 」が使用される • 「 wmic service where name=' vss' call ChangeStartMode Disabled 」なども実行される • VMware ESXiの仮想マシン強制停止 • 暗号化前に「 esxcli vm process kill -t force -w % llu 」コマンドを使用してすべての VMを 終了させる Bleeping Computer • 仮想マシンのスナップショット削除 • 「 vim -cmd vmsvc /snapshot.removeall % llu 」コマンドを使用してスナップショットを 削除し、スナップショットからのロールバックによる復旧を阻止する 参考： Qilin Ransomware Combines Linux Payload With BYOVD Exploit in Hybrid Attack 25 バックアップを消しに来るのは攻撃者にとって常識 消されない・復旧できるバックアップが重要になっているが言うは易し、行うは難し

27. 14. Impact (影響) - Part 2 T1486 -Data Encrypted for

    Impact ( 影響を与えるためのデータ暗号化 ) • 暗号化アルゴリズム : ChaCha20 、 AES-256 、 RSA-4096 などの堅牢なアルゴリズムが組み合わさ れて使用される。 • 最新のRust版では、 CPUがAES-NIをサポートしている場合は高速な AES暗号化を使用し、そう でない場合は ChaCha20 を使用するといった、ハードウェアに応じた最適化が行われている。 • 暗号化モード : アフィリエイトは、攻撃のスピードと強度のバランスを調整するために、複数 の暗号化モードを選択できる。 • Normal: ファイル全体を暗号化する。 • Fast / Intermittent: ファイルの一部（例えば数 MBごと）をスキップしながら暗号化する 「部分暗号化」を行う。これにより、大容量のデータベースや仮想ディスクであっても 極めて短時間で破壊することが可能となり、防御側の対応時間を奪う。 • Windows Subsystem for Linux （ WSL）を利用し、 MSL環境内でLinux ランサムウェアを展開お よび実行することで検知を回避する。 参考： ランサムウェアのギャング崩壊、祁林が支配権を掌握 参考： Qilin ランサムウェアが、リモート管理ツールと BYOVD手法を利用し、 Windows システム上で Linux 版を展開 | トレンドマイクロ (JP) 26 スキップ

28. 余談：ランサムノート 暗号化される場合、 README-RECOVER-[company_id].txt といったような形式のランサムノート が配置される。 Looking Through a Pinhole at

    a Qilin Ransomware Attack | Huntress 27 ランサムノートが設置されるのは最終局面かつ EDRが無効化されていることが多いものの、 ランサムノート作成をファイル名などで検知できると、ほんの少しだけ早く気が付ける --Qilin Your network/system was encrypted. Encrypted files have new extension. --Compromising and sensitive data We have downloaded compromising and sensitive data from your system/network. Our group cooperates with the mass media. If you refuse to communicate with us and we do not come to an agreement, your data will be reviewed and published on our blog an d on the media page (https://) （省略）

29. 参考文献 1. Qilin Ransomware Explained | Understanding Cyber Attacks &

    Defense | Qualys 2. Qilin Ransomware -Blackpoint Cyber 3. Researchers infiltrate Qilin ransomware group, finding lucrative affiliate payouts | The Record from Recorded Future News 4. 複数の Qilin ケースから分かる最新の攻撃手法 -Cisco Japan Blog 5. Blog: Qilin Ransomware: Technical analysis, from initial access to beaconing 6. Qilin Ransomware Combines Linux Payload With BYOVD Exploit in Hybrid Attack 7. Qilin Ransomware: Tactics, Attack Methods & Mitigation Strategies 8. Qilin Ransomware Surge: A Growing Global Threat to Critical Sectors 9. Qilin ランサムウェアが、リモート管理ツールと BYOVD手 法を利用し、 Windows システム上で Linux 版を展開 | トレ ンドマイクロ (JP) 10. Message from AttackIQ 11. Qilin’s 2025 Playbook, and the Security Gap it Exposes by Lucie Cardiet 12. Qilin on the rise: what Australian organisations need to know 13. Exposing Data Exfiltration: Detecting LOLBins , TTPs, and Ransomware Tactics | Huntress 14. ランサムウェアのギャング崩壊、祁林が支配権を掌握 15. The Evolution of Qilin RaaS | SANS Institute 16. Qilin Ransomware: Tactics & Attack Methods 17. THREAT ACTOR Qilin 18. ランサムウェアグループ「 Qilin 」とは？ 彼らはどのよう に活動しているのか？ | KELA Cyber 19. Cross-platform ransomware: Qilin weaponizes Linux binaries against Windows hosts | CSO Online Emily 28

30. 参考文献の中で特に充実していたレポート URL： Uncovering Qilin attack methods exposed through multiple cases

    29 日本人！