Qilin ランサムウェアの攻撃手法を分析:MS ペイント/メモ帳の悪用による情報窃取と二重恐喝

Qilin Ransomware Exploits MSPaint and Notepad to Locate Sensitive Files

2025/10/27 gbhackers — 2025年後半に Qilin (旧称 Agenda) ランサムウェア・グループは、ファイル暗号化と公開データ漏洩の二重恐喝戦略を軸とする攻撃キャンペーンにより、製造/科学サービス/卸売などの業種を中心に毎月 40件以上の被害者情報を公開し、世界で最も影響力のあるランサムウェア集団の一つに躍り出た。

Talos 脅威インテリジェンス・チームの分析によると、Qilin ランサムウェア・グループの活動ペースは一貫しており、特に製造業への攻撃が約 23%を占めている。そして、専門/科学サービス業が 18%、卸売業が 10%と続き、医療/建設/小売/教育/金融などの重要分野は 5%、第一次産業と一般サービス業は 2%未満に留まる。

Number of victims listed on Qilin ransomware leak site.
Number of victims listed on Qilin ransomware leak site.

被害者数では米国が首位で、それに続くのがカナダ/英国/フランス/ドイツなどである。月間での被害件数は安定しているが、2025年夏のピーク時には 100件を超え、このグループの持続的かつ世界的な脅威性が浮き彫りになっている。

Countries affected by Qilin ransomware.
Countries affected by Qilin ransomware.

Qilin の恐喝手法の中核をなすリークサイトは、侵害の証拠としての役割を果たすと同時に、被害者に身代金支払いを迫る高圧的な戦術としても機能している。

Windows ネイティブ・ツールの悪用

最近のインシデント分析により、Qilin のツール・キットでは正規の Windows アプリケーション (mspaint.exe/notepad.exe) が悪用され、機密データを含むファイルを精査する手法が採用されていることが判明した。

この手法が大規模に利用されることは稀であるが、機密情報の内容を迅速に確認する攻撃者が、典型的なハッカー・ツールのみをブロック/検知するように調整されたセキュリティ・プラットフォームを回避するのに有効であると考えられる。

被害環境のログから判明したのは、正規の Windows アプリケーションであるメモ帳 (notepad.exe) やペイント (mspaint.exe) を用いて機密ファイルを確認した攻撃者が、Cyberduck などのオープンソース・ユーティリティを介して窃取したデータをクラウドへ持ち出していたことだ。こうした C2 通信は、通常の業務トラフィックに紛れ込むことが多い。

また、アーティファクトから確認されたものには、攻撃者の認証情報窃取スクリプトに windows-1251 (キリル文字) エンコーディングが見られ、東欧/ロシア語圏のオペレーターとの関連が示唆される。アナリストたちは、意図的な偽旗作戦の可能性にも注意を促している。

Qilin の攻撃チェーンは、多くの人間が操作するランサムウェア攻撃を模倣しているが、それらとは微妙な差異を持っている。初期アクセスをたどると、ダークウェブで流出/販売された資格情報をによる VPN ログインが多く見られ、標的とされた VPN で多要素認証 (MFA) がコンフィグされていないため、資格情報を入手した攻撃者は制限なくアクセスできる状況にあった。

侵入後の攻撃者は RDP を有効化し、Windows 環境間での横方向移動 (ラテラル・ムーブメント) を容易にするために、グループ・ポリシーを調整していた事例も確認されている。

Example case of initial intrusion via VPN.
Example case of initial intrusion via VPN.

Qilin の攻撃者は、nltest/net/whoami/tasklist などの組み込みツールを用いて、ユーザーリスト/ドメインコントローラー/特権情報を体系的に収集する偵察を実行している。そして、認証情報の取得は、Mimikatz/NirSoft ユーティリティ/カスタム・バッチファイル等を組み合わせた多段階のプロセスで行っている。

これらの取得した資格情報を悪用する攻撃者はネットワーク内に拡散し、ファイアウォールや RDP コンフィグを変更し、無制限の横方向移動を可能にするための、広範なアクセスが可能な共有フォルダを作成できるようになる。

Credential harvesting via Mimikatz.
Credential harvesting via Mimikatz.

Qilin の特徴は、二種類の暗号化ツールを併用する点にある。”encryptor_1.exe” は、PsExec を介して横方向に拡散し、複数ホストへと感染を広げるのに用いられる。その一方で “encryptor_2.exe” は、単一の監視ポイントからネットワーク共有を集中的に暗号化する役割を担っている。

攻撃者はランサムウェアの実行に先立ち、PowerShell の難読化と、EDR/AMSI の無効化を行い、オープンソース/商用リモート・アクセス・ツール (AnyDesk/ScreenConnect) などを併用する、多層的な防御回避策を実行する。

難読化/情報漏洩/永続的な影響

Qilin の攻撃者は、窃取データを WinRAR などで圧縮して、Cyberduck を用いて Backblaze などのクラウド・ストレージへとアップロードする。さらに、コード解析により、decrypted_buf が CreateThreadpoolWait の引数を介してコールバック関数として登録され、待機オブジェクトがシグナルを受けた際に、このコールバックが呼び出される仕組みの存在も確認されている。

The main process of the Cobalt Strike loader.
The main process of the Cobalt Strike loader.

彼らは、”mspaint.exe/notepad.exe” を用いる手作業でファイルを精査し、価値あるデータを特定している。ランサムウェアの展開後に Qilin は、身代金の支払いと交換で、データ復旧を提示するメッセージを残す。このメッセージには、セクター/被害者ごとの条件設定が組み込まれることが多く、対象ファイル・プロセス・サービスのホワイトリスト/ブラックリストも含まれている。さらに、永続化はスケジュール・タスクおよびレジストリ改変で確立され、これにより継続的な脅迫圧力が維持される。

Qilin の継続的な活動は、連携の取れたアフィリエイト/機敏な戦術/ありふれた Windows ツールの革新的な悪用に基づいている。それが示唆するのは、防御側による迅速な対応の必然性である。

2025年における最も活発なランサムウェア攻撃者を、阻止する組織にとって不可欠なことは、資産インベントリ/特権のセグメンテーション、そして一般的なアプリケーションと非一般的なアプリケーションの動作を継続的に監視することである。

Qilin の攻撃は、複数の運用上の弱点を突く狡猾なものです。流出/販売された認証情報や MFA 未設定の VPN が初期アクセスを許し、その後に、正規の Windows ツールやリモート管理ソフトを悪用して横移動/機密確認/クラウドへの情報持ち出しなどを行うとされます。さらにアフィリエイト型の組織運用と、暗号化+データ公開という二重恐喝の戦術が被害の拡大を助長していると、この記事は指摘しています。よろしければ、Qilin で検索を、ご参照ください。