Qilinとは？ わかりやすく解説

ウィキペディア

Qilin

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2026/05/27 09:54 UTC 版)

Qilin
別名	Agenda
種類	サイバー犯罪集団、ランサムウェア・アズ・ア・サービス
活動開始	2022年頃
主な手法	ランサムウェア、二重恐喝、データ窃取
主な標的	医療、製造、教育、金融、公共機関、メディア

Qilinは、ランサムウェアを用いるサイバー犯罪集団、および同集団が運用するランサムウェア・アズ・ア・サービス型のランサムウェアである。Agendaとも呼ばれる^[1][2]。2022年頃から活動が確認され、医療、製造、教育、金融、公共機関、メディアなどの組織を標的としている^[3][1]。

Qilinは、ファイルの暗号化に加えて、被害組織から窃取したデータを公開すると脅す二重恐喝型の手法を用いる^[1][4]。2025年には日本国内でも被害または犯行主張が相次ぎ、警察庁資料では、同年にランサムウェア種別が判明した149件のうち、Qilinが32件、21.5パーセントを占めた^[5]。

概要

Qilinは、ランサムウェアを開発・運用する側と、実際に侵入や攻撃を行う協力者が分かれるランサムウェア・アズ・ア・サービス型の形態をとるとされる^[4]。トレンドマイクロは、Agendaとして知られるランサムウェアがQilinとして活動し、複数のプラットフォームに対応する亜種や高度な侵入手法を用いていると分析している^[1]。Cisco Talosは、QilinをAgendaとしても知られるランサムウェアグループとし、窃取した情報の公開と暗号化を組み合わせる二重恐喝を行うと説明している^[2]。

トレンドマイクロは2025年、QilinがWindows環境でLinux版のAgendaランサムウェアを展開する攻撃を確認したと発表した。同社は、このようなクロスプラットフォーム型の実行により、企業側の検出が困難になると分析している^[6]。

活動と手法

Qilinは、侵入後に認証情報の取得、権限昇格、横展開、データ窃取、暗号化を行うとされる^[2]。Cisco Talosは、2025年に複数のQilin関連インシデントに対応し、VPN侵害からランサムウェア実行までの攻撃手順を分析している^[2]。

NTTセキュリティ・ジャパンは、Qilinについて、ランサムウェアによる暗号化だけでなく、情報窃取とリークサイト上での公開を組み合わせる点を指摘している^[7]。

日本国内での影響

2025年には、日本国内でもQilinによる被害または犯行主張が目立つようになった。警察庁資料では、2025年にランサムウェアの被害報告件数が226件あり、ランサムウェア種別が判明した149件のうちQilinが32件、21.5パーセントを占めた^[5]。Cisco Talosも、2025年に日本国内で報告されたランサムウェア被害134件のうち、Qilinに関連するものが22件、16.4パーセントを占めたと分析している^[8]。

アサヒグループホールディングス

2025年9月、アサヒグループホールディングスはサイバー攻撃によるシステム障害を公表した。同社は10月3日の発表で、サーバーがランサムウェアによる攻撃を受けたことを確認し、国内グループ各社の受注・出荷を含む各種業務、社外からの電子メール受信、コールセンター業務などに影響が出ていると説明した^[9]。また、システムによる受注・出荷業務は停止し、部分的に手作業で受注・出荷を進めていると発表した^[9]。

同社は10月14日、サイバー攻撃によるシステム障害の影響で、2025年12月期第3四半期決算短信の開示が四半期末後45日を超える見込みになったと発表した^[10]。

ロイターは同年10月、Qilinがアサヒグループホールディングスへの攻撃を主張し、9300件超、約27ギガバイトのファイルを盗んだと主張したと報じた。ただし、ロイターは公開された文書の真正性を独自に確認できていないともしている^[3]。NTTセキュリティ・ジャパンも、同事案を「Qilinランサムウェアの脅威」として扱い、国内の受注・出荷、コールセンター、工場生産、サプライチェーンへの影響を整理している^[7]。

東山産業

2026年、東山産業は同社サーバー等へのランサムウェア攻撃を公表した。同社は4月22日の第3報で、悪意ある第三者が社内ネットワークへ不正アクセスし、管理者権限を不正に取得した上で複数のサーバーにランサムウェアを展開し、ファイルを暗号化したと説明した^[11]。

同社は、外部専門機関によるフォレンジック調査およびダークウェブ調査の結果として、2026年4月10日時点で「QILIN」ランサムグループのブログに一部データの写真が公開され、4月15日にデータが公開されたことを確認したと発表した^[11]。

宇都宮セントラルクリニック

2025年2月、宇都宮セントラルクリニックは、同院のサーバーがランサムウェア攻撃を受けたことを公表した。同院は、院内システムが使用できない状態が続き、診察および健診業務を制限したと説明した^[12]。同院のサーバーには最大約30万名分の個人情報が記録されていたとされる^[12]。

同事案については、Qilinが不正アクセスと情報窃取を主張したとする報道がある^[13]。

オオサキメディカル

2025年8月、医療用品メーカーのオオサキメディカルは、同社システムがランサムウェアに感染し、8月25日以降に受け付けた注文の出荷ができない状況になったと発表した^[14]。同社は同年12月、外部調査機関の調査により、同社が管理する個人情報の一部が外部に漏えいした可能性があると発表した^[15]。

同事案については、Qilinが同社への不正アクセスと約113ギガバイトの情報窃取を主張したとする報道がある^[16]。

エネサンスホールディングス

2025年10月、エネサンスホールディングスはランサムウェア被害を公表した。同社は、一部サーバーおよび端末内のデータが暗号化されたこと、攻撃者側のウェブサイトに同社名および会社ロゴが掲載されたことを認識していると説明した^[17]。2026年5月の発表では、同社から窃取されたと思われる情報が攻撃者により公開されていたことを確認したと発表した^[18]。

同事案については、Qilinが同社への攻撃を主張したとする報道がある。ただし、同報道では、ランサムウェアグループの主張には注意が必要であるとも記されている^[19]。

穴吹ハウジングサービス

2026年、穴吹ハウジングサービスは、同社システムに対する第三者による不正アクセスを検知し、システム隔離およびネットワーク遮断を行ったと発表した^[20]。同社は、攻撃者により公開された情報の中に同社に関連するとみられる情報が掲載されていることを確認し、約49万6000名分の個人情報について漏えいの可能性を否定できないとした^[20]。

同事案については、Qilinが同社に対する犯行声明を出したとする報道がある^[21]。

主な国際的事例

英国

2024年6月、英国の病理検査サービス会社Synnovisがランサムウェア攻撃を受け、ロンドンの複数のNHS病院で診療、検査、手術などに影響が出た^[22]。ロイターは2025年6月、英国の保健当局が、この攻撃による血液検査の遅延がロンドンの病院患者1名の死亡に寄与したと確認したと報じた^[23]。

米国

米国では、医療機関、新聞社、研究支援企業、地方公共機関などに対する被害または犯行主張が報じられている。Covenant Healthは2025年5月のサイバー攻撃により、47万8000人超の個人情報や医療情報が影響を受けたと報じられた^[24]。SecurityWeekは、Qilinが同組織のシステムからデータを盗んだと報じている^[24]。

米国の新聞社グループLee Enterprisesは、2025年2月のサイバー攻撃により、重要なアプリケーションが暗号化され、データが盗まれたと報じられた^[25]。TechCrunchは、同攻撃により米国各地の新聞印刷やメディア運営が数週間にわたり混乱し、Qilinが犯行を主張したと報じている^[26]。

アジア

中国系の自動車部品メーカーYanfeng Automotive Interiorsについて、BleepingComputerは、Qilinが同社への攻撃を主張したと報じた。同社は世界各地に拠点を持つ自動車内装部品メーカーであり、Stellantisは外部サプライヤーの問題により北米の一部組立工場の生産が影響を受けたと説明している^[27]。

韓国では、The Hacker Newsが、韓国金融セクターに対するサプライチェーン攻撃でQilinランサムウェアが展開されたと報じている^[28]。

欧州大陸

フランスでは、2025年10月にHauts-de-France地域の公立高校システムがサイバー攻撃を受けた。リール学区は、同地域の高校情報システムが攻撃を受け、地域・学区当局が危機対応を開始したと発表した^[29]。フランスの報道機関は、この攻撃をQilinによるものとして報じている^[30]。

ドイツでは、左派政党Die Linkeがサイバーインシデントを確認し、BleepingComputerはQilinが同党からデータを盗んだと報じた^[31]。

ルーマニアでは、国営石油パイプライン運営会社Conpetに対するサイバー攻撃について、The Recordが、Qilinが約1テラバイトのデータ窃取を主張したと報じた^[32]。Check Pointは、同社のITシステムに障害が出た一方で、パイプライン制御や通信などの運用技術は機能し続け、石油輸送は中断しなかったと説明している^[33]。

攻撃主体の特定

一部の事例では、被害組織の公式発表が攻撃主体を明示していない。そのため、Qilinとの関連は、同集団の犯行声明、リークサイト掲載、またはセキュリティ企業・報道機関の分析に基づく場合がある^[3][19]。

脚注

1. 1 2 3 4 “ランサムウェア・スポットライト：Agenda（Qilin）”. トレンドマイクロ (2026年4月3日). 2026年5月27日閲覧。
2. 1 2 3 4 “複数の Qilin ケースから分かる最新の攻撃手法”. Cisco Japan Blog (2025年10月27日). 2026年5月27日閲覧。
3. 1 2 3 “'Qilin' cybercrime gang claims hack on Japan's Asahi Group” (英語). Reuters. (2025年10月7日). https://www.reuters.com/world/asia-pacific/cybercriminals-claim-hack-japans-asahi-group-2025-10-07/ 2026年5月27日閲覧。 
4. 1 2 “Qilin ransomware: What is it, and how does it operate?” (英語). Group-IB. 2026年5月27日閲覧。
5. 1 2 “令和7年におけるサイバー空間をめぐる脅威の情勢等について” (PDF). 警察庁. 2026年5月27日閲覧。
6. ↑ “Qilinランサムウェアが、リモート管理ツールとBYOVD手法を利用し、Windowsシステム上でLinux版を展開”. トレンドマイクロ (2025年11月3日). 2026年5月27日閲覧。
7. 1 2 “サイバーセキュリティレポート 2025年10月”. NTTセキュリティ・ジャパン (2025年11月17日). 2026年5月27日閲覧。
8. ↑ “2025年の日本におけるランサムウェア被害と、Qilin事例から学ぶ早期検知の重要性・ルールの紹介”. Cisco Japan Blog (2026年4月2日). 2026年5月27日閲覧。
9. 1 2 “サイバー攻撃によるシステム障害発生について（第2報）”. アサヒグループホールディングス (2025年10月3日). 2026年5月27日閲覧。
10. ↑ “サイバー攻撃によるシステム障害発生に伴う2025年12月期第3四半期決算短信の開示が四半期末後45日を超えることに関するお知らせ”. アサヒグループホールディングス (2025年10月14日). 2026年5月27日閲覧。
11. 1 2 “当社サーバー等へのランサムウェア攻撃に関するお知らせとお詫び（第3報）”. 東山産業 (2026年4月22日). 2026年5月27日閲覧。
12. 1 2 “不正アクセスに伴う情報漏えいの可能性および当面の業務制限に関するお知らせ”. 宇都宮セントラルクリニック (2025年2月18日). 2026年5月27日閲覧。
13. ↑ “宇都宮セントラルクリニック、ランサムウェアで約30万人の個人情報漏洩の可能性”. セキュリティ対策Lab (2025年2月18日). 2026年5月27日閲覧。
14. ↑ “ランサムウェア感染によるシステム障害のお知らせ”. オオサキメディカル (2025年8月26日). 2026年5月27日閲覧。
15. ↑ “不正アクセスによる個人情報漏えいの可能性に関するお知らせとお詫び”. オオサキメディカル (2025年12月1日). 2026年5月27日閲覧。
16. ↑ “ランサムウェアグループ Qilinがオオサキメディカルへの不正アクセスによるサイバー攻撃を主張”. セキュリティ対策Lab (2025年10月14日). 2026年5月27日閲覧。
17. ↑ “システム障害に関するお知らせ（続報）”. エネサンスホールディングス (2025年10月30日). 2026年5月27日閲覧。
18. ↑ “システム障害に関するお知らせ（第4報）”. エネサンスホールディングス (2026年5月11日). 2026年5月27日閲覧。
19. 1 2 “ランサムウェア被害を公表-Qilinが犯行声明”. セキュリティ対策Lab (2025年11月4日). 2026年5月27日閲覧。
20. 1 2 “情報漏えいに関するお知らせとお詫び（ランサムウェア攻撃による不正アクセスについて・第4報）”. 穴吹ハウジングサービス (2026年3月9日). 2026年5月27日閲覧。
21. ↑ “穴吹ハウジングサービス、サイバー攻撃で約49.6万人分の個人情報漏洩の恐れ-ランサムウェア グループQilinが犯行声明”. セキュリティ対策Lab (2026年3月10日). 2026年5月27日閲覧。
22. ↑ “Synnovis cyber incident” (英語). NHS England. 2026年5月27日閲覧。
23. ↑ “UK health officials say patient's death partially down to cyberattack” (英語). Reuters. (2025年6月26日). https://www.reuters.com/business/healthcare-pharmaceuticals/uk-health-officials-say-patients-death-partially-down-cyberattack-2025-06-26/ 2026年5月27日閲覧。 
24. 1 2 “Covenant Health Data Breach Impacts 478000 Individuals” (英語). SecurityWeek (2026年1月2日). 2026年5月27日閲覧。
25. ↑ “Lee Enterprises spent $2M for ransomware recovery” (英語). Cybersecurity Dive (2025年5月12日). 2026年5月27日閲覧。
26. ↑ “Data breach at newspaper giant Lee Enterprises affects 40,000 people” (英語). TechCrunch (2025年6月4日). 2026年5月27日閲覧。
27. ↑ “Qilin ransomware claims attack on automotive giant Yanfeng” (英語). BleepingComputer (2023年11月28日). 2026年5月27日閲覧。
28. ↑ “Qilin Ransomware Turns South Korean MSP Breach into 28-Victim “Korean Leaks” Campaign” (英語). The Hacker News (2025年11月). 2026年5月27日閲覧。
29. ↑ “Cyberattaque contre le système d'information des lycées en Hauts-de-France : point de situation” (フランス語). Académie de Lille. 2026年5月27日閲覧。
30. ↑ “Une cyberattaque vise les lycées publics des Hauts-de-France, l'accès à internet suspendu” (フランス語). L'Usine Digitale. 2026年5月27日閲覧。
31. ↑ “Die Linke German political party confirms data stolen by Qilin ransomware” (英語). BleepingComputer. 2026年5月27日閲覧。
32. ↑ “Romanian oil pipeline operator says cyberattack did not disrupt transport” (英語). The Record. 2026年5月27日閲覧。
33. ↑ “9th February Threat Intelligence Report” (英語). Check Point Research. 2026年5月27日閲覧。

関連項目

• ランサムウェア
• マルウェア
• サイバー攻撃
• サイバー犯罪
• 二重恐喝