この記事の3つのポイント
- ランサムウェア集団Qilinがアサヒグループに犯行声明、RaaSビジネスモデルで急成長中
- 2025年最も活発なランサムウェアとして「業界トップシェア」を獲得、アフィリエイト報酬は驚異の80-85%
- ビール27GBとデータ27GB、どちらがお好みですか?サイバー犯罪の「サブスク化」が止まらない
「乾杯!」のかわりに「開封!」──アサヒグループホールディングスがサイバー攻撃を受け、ランサムウェア集団「Qilin(キリン)」が犯行声明を出した。内部文書29枚の画像と約27GBのデータ、9300以上のファイルを盗んだと主張するこの集団は、2025年「最も活発なランサムウェア」の称号を獲得。まるでスタートアップ企業のような成長曲線を描くサイバー犯罪の裏側を、データと風刺で解剖する。
Qilin(キリン)とは何者か?神話の霊獣からサイバー犯罪へ
中国神話に登場する霊獣「麒麟(きりん)」は、平和と繁栄の象徴とされる。しかし、サイバー空間に現れた「Qilin」は、その名に反して企業のデータを人質に取り、身代金を要求する冷酷なランサムウェア集団だ。2022年に「Agenda」として登場し、後に改名。2024年には5,000万ドル以上の身代金を得たとされ、2025年には複数の脅威インテリジェンスレポートで「最も普及しているランサムウェア」と評価されている。
Qilinの年間被害件数推移(2022-2025年)
出典:各種脅威インテリジェンスレポートより編集部作成
グラフが示すのは、まるでシリコンバレーのユニコーン企業のような急成長だ。ロシア語圏のハッカーが開発し、世界中のアフィリエイトが攻撃を実行する──このビジネスモデルこそ、Qilinの成功の秘訣である。
RaaSビジネスモデルの衝撃:犯罪のフランチャイズ化
「Ransomware-as-a-Service」とは何か
RaaS(Ransomware-as-a-Service)は、ランサムウェア本体とインフラを提供し、アフィリエイトが攻撃を実行するビジネスモデルだ。SaaS(Software-as-a-Service)をもじった名称だが、提供されるのは犯罪ツール。開発チームが「本部」となり、世界中のアフィリエイトが「営業所」として機能する、いわばサイバー犯罪のフランチャイズ経営である。
| 項目 | 正規SaaS(例:Salesforce) | RaaS(Qilin) |
|---|---|---|
| ビジネスモデル | サブスクリプション型 | 成果報酬型(身代金の15-20%) |
| 顧客 | 企業、個人ユーザー | サイバー犯罪者(アフィリエイト) |
| 提供物 | 業務効率化ツール | ランサムウェア、暗号化ツール、インフラ |
| サポート体制 | 24時間カスタマーサポート | ダークウェブ上のチャット、マニュアル完備 |
| アフィリエイト報酬 | 5-20%程度 | 80-85%(業界トップクラス!) |
| 法的評価 | 合法 | 国際犯罪 |
注目すべきは、アフィリエイト報酬が80-85%という驚異的な数字だ。通常のアフィリエイトマーケティングでは考えられない高報酬率である。Qilinは2025年7月、「身代金はアフィリエイトのウォレットのみに入金される」という革新的な決済方法を導入。被害者がアフィリエイトに直接支払い、その後アフィリエイトが本部に15-20%を納める仕組みだ。まるで「先に売上を計上して、後から本部に納税する」ような、逆転の発想である。
2025年「業界No.1」の座を獲得したQilinの成長戦略
2025年Q2 主要ランサムウェアのシェア比較
米国SLTT(州・地方・部族・準州)向け攻撃の報告件数より
2025年第2四半期、Qilinは前四半期9%から24%へとシェアを拡大し、それまでトップだったRansomHubを抜いて首位に立った。RansomHubが2025年4月に突然活動停止したことで、多くのアフィリエイトがQilinに鞍替えしたためだ。まるでライバル企業が倒産したタイミングで市場を独占するスタートアップのような、したたかな戦略である。
Qilin急成長の3つの要因
Qilinは単なるマルウェアではなく、「フルサービスのサイバー犯罪プラットフォーム」だ。アフィリエイト向けの管理画面には「麒麟」のデザインが施され、攻撃マニュアルも完備。RustとC言語で書かれた最新のランサムウェアバイナリを提供し、Cobalt Strikeなどの高度なツールもサポートする。まるでAppleのようなエコシステム構築である。ただし、App Storeの審査はない。
アサヒグループ事件の詳細:27GBのビールならぬデータ流出
2025年10月7日、Qilinがアサヒグループホールディングスへの先月の攻撃について犯行声明を出した。公開された情報によると、内部文書とする29枚の画像をウェブサイトで公開し、約27ギガバイトのデータに相当する9300以上のファイルを盗んだと主張している。
アサヒグループ事件:盗まれたデータの内訳(Qilin主張)
※ロイターは文書の信憑性を確認できていない
ここで気になるのが「27GB」という数字だ。アサヒスーパードライの350ml缶を約7700万本生産するのに必要な原材料データ量に相当する…というのは完全にデタラメだが、データ流出とビール生産を無理やり結びつけたくなるのが人情である。いずれにせよ、27GBという量は、従業員の個人情報、取引先情報、経営戦略文書など、膨大な機密情報が含まれる可能性がある。
日本企業への被害急増中:前年比1.4倍の衝撃データ
Cisco Talosのレポートによると、2025年上半期に日本で確認されたランサムウェア被害は68件と、前年同期の48件から約1.4倍に増加した。標的は中堅・中小企業が中心で、業種別では製造業が最多。国内で最も活動が目立ったランサムウェアグループは、まさに「Qilin」だった。
日本国内のランサムウェア被害件数推移
出典:Cisco Talosレポートより
Qilinの日本企業への攻撃は2023年5月頃から本格化し、リークサイトに日本企業が掲載され始めた。2023年10月には「cloud.screenconnect.jpn[.]com」という偽ドメインが確認され、日本の組織を狙った攻撃の意図が明らかになった。宇都宮セントラルクリニック、光精工、新興プラスチックス、長崎船舶装備、日産自動車の子会社など、医療、製造、自動車関連と、攻撃対象は多岐にわたる。
比較分析:ビール会社 vs サイバー犯罪プラットフォーム
無意味だが興味深い比較データ
| 比較項目 | アサヒグループHD | Qilin |
|---|---|---|
| 設立年 | 1889年(創業135年超) | 2022年(わずか3年) |
| 主力商品 | アサヒスーパードライ | Qilin.Bランサムウェア |
| 年間売上規模 | 約2兆円(2024年) | 推定5,000万ドル=約75億円(2024年) |
| 顧客数 | 世界中の何百万人 | 310組織以上が「顧客」(被害者) |
| 従業員数 | 約25,000人 | 不明(アフィリエイト数十人~数百人?) |
| ビジネスモデル | 製造・販売 | RaaS(サブスク型犯罪) |
| 顧客満足度 | 高(リピーター多数) | 最悪(二度と会いたくない) |
| 成長率(2024-2025) | 微増 | 爆発的成長(シェア9%→24%) |
この比較表が示すのは、135年の歴史を持つ伝統企業と、わずか3年で「業界トップ」に躍り出たサイバー犯罪組織の対比である。アサヒグループが何十年もかけて築いた信頼とブランドを、Qilinは一夜にして人質に取る。何とも皮肉な話だ。
なぜ今、企業は狙われるのか?フィッシングから始まる悪夢
Qilinの初期アクセス手法は、主にフィッシングメール、公開されたアプリケーションの脆弱性悪用、RDP(Remote Desktop Protocol)などの外部リモートサービスの3つだ。特にFortiGateファイアウォールの脆弱性(CVE-2024-21762など)を悪用した攻撃が多発している。
フィッシングメールをクリックしてから身代金要求まで、平均20日程度
ある不動産開発会社の事例では、従業員が業務用PCでフィッシングメールを開いたことが初期アクセスのきっかけとなった。その後、Qilinは「ネットワークの深部に侵入するのは簡単だったよ。おたくの管理者のパスワードは、我々がこれまで目にした中でもっとも簡単な部類に入るよ」と語ったという。セキュリティの甘さを嘲笑うような口調だ。
Qilinの初期アクセス手法の割合
※各種インシデントレポートより推定
まとめ:サイバーセキュリティという新たな「酔い止め」
ビールを飲んで酔うのは楽しいが、サイバー攻撃で「酔わされる」のはごめんだ。アサヒグループへの攻撃は、135年の歴史を持つ企業でさえ、新興のサイバー犯罪集団の標的になりうることを示した。Qilinの急成長は、サイバー犯罪が「組織化」「サービス化」「ビジネス化」していることの証左だ。
RaaSというビジネスモデルは、技術力のない犯罪者でも高度な攻撃を実行可能にする。アフィリエイト報酬80-85%という破格の条件は、ますます多くの「営業所」を惹きつけるだろう。2025年Q2にシェア24%を獲得したQilinは、今後も「業界トップ」として君臨し続ける可能性が高い。
企業に求められるのは、多要素認証の導入、定期的なパッチ適用、従業員へのセキュリティ教育といった基本的な対策だ。しかし、最も重要なのは「自社は狙われない」という楽観を捨てること。中堅・中小企業こそが標的になりやすい。サイバーセキュリティは、もはや大企業だけの問題ではない。
「乾杯の前に、セキュリティチェックを。」──これが2025年のビジネス標語かもしれない。
よくある質問(FAQ)
Qilinランサムウェアとは何ですか?
Qilin(キリン)は2022年に登場したRaaS型ランサムウェアで、当初は「Agenda」と呼ばれていました。ロシア語圏のハッカーが開発し、世界中のアフィリエイトが攻撃を実行するフランチャイズ型のサイバー犯罪プラットフォームです。2025年には最も活発なランサムウェアとして、米国SLTT向け攻撃のシェア24%を占めています。
なぜQilinは急成長したのですか?
主な理由は3つあります。第一に、アフィリエイトへの報酬率が80-85%と業界トップクラスであること。第二に、洗練されたマルウェアと充実したサポート体制を提供していること。第三に、2025年4月にライバルのRansomHubが活動停止したことで、多くのアフィリエイトがQilinに移行したことです。
日本企業はQilinの標的になっていますか?
はい、日本企業への攻撃は増加傾向にあります。Cisco Talosのレポートによると、2025年上半期に日本で確認されたランサムウェア被害は68件で、前年同期から1.4倍に増加しました。Qilinは宇都宮セントラルクリニック、光精工、新興プラスチックス、日産自動車の子会社、そして今回のアサヒグループなど、多様な業種の日本企業を標的にしています。
企業はどのような対策を取るべきですか?
基本的な対策として、多要素認証(MFA)の導入、定期的なセキュリティパッチの適用、従業員へのフィッシング対策教育、バックアップの定期的な取得と隔離保管が重要です。特にFortiGateなどのネットワーク機器の脆弱性に注意し、RDPなどのリモートアクセスサービスには厳格なアクセス制御を実施してください。「自社は狙われない」という楽観を捨て、中堅・中小企業こそ警戒すべきです。
