Qilinランサムウェアとは?アサヒG被害事例に学ぶ経営者の法的責任とゼロトラスト対策
2025.11.30UP!
- blog
- NIS2指令
- Qilin
- アサヒグループ
- サイバーセキュリティ
- ゼロトラスト
- ランサムウェア
- 企業法務
- 危機管理
- 経営責任
2025年、世界で最も脅威となっているランサムウェアグループ「Qilin(チーリン)」。アサヒグループホールディングスへの攻撃事例をはじめ、その被害は製造業や重要インフラへと拡大しています。
本記事では、Qilinの攻撃手口の技術的な分析と、被害事例から学ぶ「経営者が果たすべき法的責任」について解説します。特に生成AIの使用が拡大した昨今では、言語の壁を乗り越えて各国と同レベルの高度なサイバー攻撃が日本に押し寄せています。
企業はどのような防衛策とガバナンス体制を敷くべきか、実践的なチェックリストと共に詳述します。
目次
Qilinランサムウェアの脅威と特徴
💡 結論:Qilinとは?
Qilin(Agenda)は、2022年に登場したRaaS(Ransomware-as-a-Service)グループです。Rust言語で開発された攻撃ツールを用い、WindowsだけでなくLinuxやESXi環境も標的にします。データを暗号化しつつ盗み出す「二重脅迫」を得意とし、2025年には世界で700件以上の攻撃に関与しています。
Qilinは2025年、RansomHubなどの他グループを凌駕し、世界で最も活発な脅威となりました。特に製造業、金融、ヘルスケアなどの重要インフラを標的としています。
一般的なサイバーアタックの攻撃の3つの技術的特徴
- ①
クロスプラットフォーム対応:
GoやRust言語で実装されており、Windowsサーバーだけでなく、仮想化基盤であるVMware ESXiやLinuxサーバーも破壊します。 - ②
高度な防御回避(BYOVD):
正規のドライバを悪用してEDR(エンドポイントセキュリティ)を無効化したり、セーフモードで再起動して防御をすり抜けます。 - ③
生成AIの悪用:
多言語対応のフィッシングメール作成や、攻撃コードの一部生成にAIを活用し、侵入成功率を高めています。これにより言語の壁がなくなり、日本企業への攻撃精度が飛躍的に向上しました。なお、こちらは、推測であり、今後このような生成AIにより日本国内へのサイバーアタックが増えることは十分予測されます。
事例分析:アサヒグループへの攻撃フロー
2025年9月末に発生したアサヒグループホールディングスへの攻撃は、Qilinの手口を知る上で重要な教訓を含んでいます。国内システムが暗号化され、受発注業務が約2ヶ月間以上にわたり影響を受けました。
以下は、報道等で分析されている攻撃の流れです。
攻撃の経緯(MITRE ATT&CKに基づく分析)
Phase 1: 初期侵入 (Initial Access)
グループ企業のネットワーク機器を経由して社内へ侵入。VPN機器等の既知の脆弱性、またはフィッシングによって認証情報が突破された可能性が高いと分析されています。
Phase 2: 横展開と潜伏 (Lateral Movement)
侵入後、ドメイン管理者権限を奪取。約10日間にわたりネットワーク内を偵察し、バックアップシステムや重要サーバーの位置を特定しました。
Phase 3: 暗号化と脅迫 (Impact & Exfiltration)
9月29日早朝、一斉にランサムウェアを実行。同時に約27GB(約9,300ファイル)の機密情報を外部へ送信(窃取)しました。後に犯行声明を出し身代金を要求しましたが、アサヒ側は支払いを拒否しました。
経営者が問われる「サイバー法的責任」
💡 経営リスクの核心
2024年以降、サイバーセキュリティ対策は「努力目標」から「法的義務」へと変化しました。EUのNIS2指令や各国の規制により、対策を怠った経営陣個人に対して、罰金や職務停止処分が科されるリスクが生じています。
グローバルに事業を展開する日本企業にとって、各国の規制対応は急務です。
🇪🇺 EU NIS2指令
対象:重要インフラ(金融・医療・製造等)
- 経営陣によるリスク管理措置の承認・監督義務
- 違反時の個人責任(役員報酬返還・職務停止)
- インシデント発生24時間以内の報告義務
🇬🇧 英国 FCA/PRA
対象:金融機関・サプライヤー
- 最大許容停止時間(MTPD)の設定
- 担当役員(SMF24)への個人罰金事例あり
- 厳格なシナリオテストの義務化
🇯🇵 日本
対象:全上場企業
- 善管注意義務としての内部統制構築
- 能動的サイバー防御法による報告義務(特定のインフラ関連)
なぜ「ゼロトラスト」が必須なのか?
海外並みにサイバーアタックが常態化している昨今、境界防御(ファイアウォール内は安全とする考え方)は通用しなくなりました。米国や日本政府の動向を見ても、ゼロトラストへの移行は「推奨」から「義務」へと変わりつつあります。
1. 米国の動向:すでに「義務化」済み
バイデン大統領令(EO 14028)により、米国連邦政府機関ではゼロトラストアーキテクチャ(ZTA)への移行が法的義務となりました。政府と取引する民間企業にも波及しており、2024年度末までにMFA(多要素認証)必須化や通信暗号化が進められています。
2. 日本の動向:「事実上の必須化」へ
日本政府もISMAP(政府情報システムのためのセキュリティ評価制度)にゼロトラスト原則を採用。2027年までに政府機関・自治体での標準化を目指しており、民間企業においても事実上の標準(デファクトスタンダード)となりつつあります。
3. 構造的な理由
- 境界防御の限界:VPN装置自体の脆弱性(アサヒ事例における侵入経路の可能性)が相次いでおり、「境界を守るVPNこそが弱点」になっています。
- AI脅威の進化:「一度認証したら信頼する」モデルでは、AIによる高度ななりすましに対抗できません。常に検証し続ける(Continuous Verification)仕組みが不可欠です。
教訓:アサヒ事例から学ぶ「経営者が下すべき5つの決断」
アサヒグループの事例は、攻撃を受けた際の「経営判断の重さ」を浮き彫りにしました。以下は、同社の対応から導き出される重要な教訓です。
1. 「止める勇気」を持つ
判断:異常検知直後、全ネットワークの遮断とデータセンター隔離を断行。
成果:ITシステムは止まったが、工場の制御系(OT)への感染を防ぎ、製造能力そのものは温存できた。「動かし続けることによる壊滅的被害」を避けるための即断即決が、傷を浅くします。
2. 「なんとなく復旧」は最大の悪手
判断:バックアップを単に戻すのではなく、ゼロトラスト環境を再構築してからの再稼働を選択。
成果:復旧に2ヶ月を要したが、再感染のリスクを排除した「真の復旧」を実現。フォレンジック(鑑識)を徹底し、VPN廃止やネットワーク再設計を行うまで稼働させないという経営判断が必要です。
3. 身代金は絶対に払わない
判断:攻撃者からの要求に一切応じない姿勢を貫徹。
理由:反社会的勢力への利益供与を防ぐ倫理観に加え、「払ってもデータが戻る保証はない」という冷静な計算。安易な金銭解決は組織の信用を長期的に損ないます。
4. トップ自らが語る責任
判断:「漏洩の恐れ」が確定した段階でトップが会見を実施。
要点:初期段階では攻撃者に情報を与えないため沈黙しつつ、影響が確定次第、トップが矢面に立つ。情報は「推測」ではなく「確度」を持って語ることが信頼維持の鍵です。
5. セキュリティ投資は「生存コスト」
教訓:IT予算削減は命取り。今回の件を受け、前倒しでの投資と「最新かつ最強」の防御維持が不可欠となりました。バックアップも「ある」だけでなく、「戻せるか」「クリーンか」の訓練が必要です。
実践:取締役向けセキュリティ・チェックリスト
「善管注意義務を果たした」と証明するために、経営陣が実施すべきアクションリストです。次回の取締役会で確認してください。
📋 ガバナンス・監督体制
💰 投資・リソース
まとめ:サイバー防御は経営の最重要課題
Qilinのような攻撃グループは、技術的な脆弱性だけでなく、企業のガバナンスの隙を突いてきます。アサヒグループの事例は、ひとたび侵入を許せば事業停止という甚大な被害を招くことを示しました。
海外並みにサイバーアタックが常態化している昨今では、予算の追加と準備は必然です。取締役会においても、以上の状況を理解し適切に判断できる人員と、「止める勇気」を持ったリーダーシップが必要とされています。