Home > blog > Qilin 勒索病毒與企業法律風險：朝日事件揭露的資安治理缺口

Qilin 勒索病毒與企業法律風險：朝日事件揭露的資安治理缺口

12 月 01, 2025UP!

blog

2025 年，被視為全球最具威脅性的勒索軟體之一——「Qilin」。從朝日集團遭駭客攻擊事件開始，其攻擊目標已擴大至製造業與關鍵基礎設施。

本文將從Qilin 的駭客攻擊手法進行技術分析，並以實際案例說明「企業管理者必須承擔的資安法律責任」。隨著生成式 AI 在全球普及，語言障礙逐漸消失，日本企業正面臨與歐美同等級、甚至更高強度的攻擊威脅。

同時也將提供企業應採取的防禦措施、治理架構，以及可供董事會立即使用的資安檢查清單。

Qilin 勒索軟體的威脅與特徵
案例分析：朝日集團遭駭客攻擊流程
企業管理者面臨的「資安法律責任」
教訓：高層必須做出的 5 大決策
實務：董事會資安檢查清單

Qilin 勒索病毒的威脅與特徵

💡 重點：什麼是 Qilin？

Qilin（又稱 Agenda）是 2022 年出現的 RaaS（Ransomware-as-a-Service，勒索病毒即服務）組織。其攻擊工具使用 Rust 語言開發，可針對 Windows、Linux 與 VMware ESXi 等虛擬化平台。它擅長以加密與資料外洩的「雙重勒索」方式施壓，至 2025 年已涉及 700 起以上的全球事件。

Qilin 在 2025 年的活躍程度超越 RansomHub 等組織，主要鎖定製造業、金融業、醫療、能源及其他關鍵基礎設施。

典型勒索病毒攻擊的三大技術特徵

① 跨平台攻擊能力： 使用 Go 或 Rust 開發，可同時攻擊 Windows 伺服器、Linux 伺服器以及 ESXi 虛擬主機。
② 高階防禦繞過（BYOVD）： 利用合法但有漏洞的驅動程式關閉 EDR（端點偵測與回應），或以安全模式重啟繞過資安防線。
③ 生成式 AI 的惡意利用： AI 用於生成多語系釣魚信、甚至部分攻擊程式碼，使針對日本與台灣企業的駭客攻擊成功率大幅提升。（雖然部分仍屬推測，但趨勢已非常明顯。）

案例分析：朝日集團遭駭客攻擊流程

2025 年 9 月底，朝日集團（Asahi Group Holdings）遭到 Qilin 入侵，國內 IT 系統被加密，訂單與物流流程受到影響超過兩個月。

以下為相關報導所整理的攻擊流程。

攻擊過程（依 MITRE ATT&CK 框架分析）

Phase 1：初始入侵（Initial Access）

駭客疑似利用關係企業的網路設備漏洞或 VPN 裝置弱點進入內部網路，也可能透過釣魚信竊取登入憑證。

Phase 2：橫向移動與潛伏（Lateral Movement）

取得初步權限後，駭客成功奪取網域管理員權限，並在 10 天內於內部網路探查，鎖定備份系統及重要主機。

Phase 3：資料加密與勒索（Impact & Exfiltration）

9 月 29 日清晨同步發動加密作業，並將約 27GB（9,300 個檔案）的機密資料外傳。之後發出勒索聲明，但朝日方面選擇不支付贖金。

企業管理者面臨的「資安法律責任」

💡 核心重點：資安不是建議，而是義務

2024 年之後，資安要求從「努力義務」升格為「法律義務」。歐盟 NIS2 指令與多國監管制度皆已把責任指向高階主管個人。

🇪🇺 歐盟 NIS2 指令

企業高層必須監督與批准資安風險管理措施
違規可追究個人責任（扣回報酬、停職）
重大事故需於 24 小時內通報

🇬🇧 英國 FCA / PRA

需設定最大可容忍服務中斷時間（MTPD）
已有主管因資安缺失被課以個人罰款
要求企業實施完整情境壓力測試

🇯🇵 日本

高層需依「善良管理人義務」建立內控架構
特定基礎設施需依主動資安防禦法通報事件

為何「零信任架構」已成企業必須導入的標準？

1. 美國：已全面義務化

拜登行政命令（EO 14028）要求所有聯邦政府機關導入零信任架構（ZTA），與政府合作的民間企業也被納入規範。

2. 日本：政府部門朝向全面導入

ISMAP 制度已採用零信任原則，2027 年前將成為日本政府與自治體的標準。

3. 結構性原因

VPN 裝置本身已成最大弱點：攻擊者常以 VPN 漏洞為入口。
AI 駭客攻擊急速進化：「登入後即信任」的模式已不適用。

教訓：高層必須做出的 5 大決策

1. 立即按下「停止鍵」的勇氣

決策：異常發生後，立即隔離資料中心、切斷所有網路連線。 成果：雖造成 IT 系統停擺，但成功阻止傷害擴散至工廠控制系統（OT）。

2. 絕不能「邊修邊上線」

決策：不是直接還原備份，而是先打造乾淨的零信任環境再重新上線。 成果：雖花 2 個月，但避免二次感染，達到真正的復原。

3. 堅決不支付贖金

原因：付款無法保證資料被刪除，反而助長犯罪市場。

4. 必須由最高主管對外說明

需在資訊確認後，由最高決策者親自出面，才能維持外界信任。

5. 資安投資是「生存成本」

資安預算絕非可削減項目，而是企業持續營運的必要成本。

董事會資安檢查清單

📋 治理與監督

是否正式任命資安長（CISO）並授予權限？
是否每季向董事會報告資安風險狀況？
是否制定「何時按下停止鍵」的明確判斷標準？

💰 預算與資源

資安預算是否達 IT 投資的 10–20%？
全體董事是否至少每年受訓一次？

總結：資安是企業經營的核心議題

Qilin 等勒索組織不只利用技術漏洞，也專找企業治理的弱點下手。朝日案例清楚顯示，一旦遭入侵，整體營運可能瞬間癱瘓。

在駭客攻擊「常態化」的今天，企業不只需要投入更多資安預算，更需要有在關鍵時刻「按下停止鍵的領導者」。董事會必須具備理解並判斷資安風險的能力，使企業能在高威脅環境中持續營運。

作者資訊

赤坂國際法律會計事務所

律師　角田進二（Shinji SUMIDA）