Qilinランサムウェア、LinuxベースのランサムウェアバイナリでWindowsホストを攻撃

佐々山 Tacos

2025.10.28

2025年10月28日：サイバーセキュリティ関連ニュース

Qilinランサムウェア、LinuxベースのランサムウェアバイナリでWindowsホストを攻撃

Dark Reading – October 28, 2025

今年最も勢いのあるランサムウェアグループの1つであるQilinは、最近の攻撃でLinuxベースのバイナリを使ってWindowsホストを攻撃し、Windows中心の検出技術や従来型EDRなどのセキュリティソリューションを回避しているという。トレンドマイクロが報告した。

Agenda、Gold Feather、Water Galuraなどの呼び名でも知られるRaaSグループのQilinは、1月以降62か国における700以上の被害組織に影響を与えており、この今までにない運用テンポの速さと世界的なリーチを踏まえ、トレンドマイクロは「2025年のトップランサムウェアグループの1つ」と評価。標的地域については「特に米国、西ヨーロッパ、日本」にフォーカスしていると述べた。1月以降にQilinのリークサイトに掲載された被害組織を国別に見ると最も多いのは米国（295組織）で、これにフランス（36）、カナダ（32）、英国（26）、スペイン（21）、ドイツ（19）、日本（19）が続いている。

トレンドマイクロが最近観測したある攻撃事例において、Qilinは正規のリモートマネジメント・ファイル転送ツールであるAnyDesk、ATERA Networks製RMMプラットフォーム、およびScreenConnectを悪用してWindowsホスト上にLinuxベースのランサムウェアバイナリを展開していたという。

攻撃はまず、偽のCAPTCHAページを利用したClickFixタイプのソーシャルエンジニアリング戦術から開始された可能性が高いとトレンドマイクロは評価。この偽ページはインフォスティーラーマルウェアを配布していたものとみられ、感染したマシンからは認証トークンやブラウザクッキー、保存されていた認証情報が盗み取られる。攻撃チェーンを通じて有効な認証情報が使用されていたことから、Qilinのアクターはこれらの盗難認証情報の使用によりターゲット環境への初期アクセスに必要な有効アカウントを奪取したであろうことが強く示唆されているという。加えて、多要素認証（MFA）が回避され、正規のユーザーセッションを用いてラテラルムーブメントが行われていたことからも、同アクターが従来のようなエクスプロイト手法を使うのではなく、収集された認証情報を保有していたであろうことが示されている。

初期アクセス獲得後のステップとしては、主に以下のようなものが見受けられたという。

SOCKSプロキシDLLの展開による、リモートアクセス・コマンド実行の円滑化
ScreenConnectのリモートマネジメント性能の悪用による、ドメイン信頼関係の体系的な列挙と特権アカウントの特定
ネットワークスキャンツールの実行による、その他のシステム・サービスやラテラルムーブメント対象となり得るターゲットの特定
Veeamバックアップインフラからの認証情報収集
「eskle.sys」ドライバを使ったBYOVD攻撃による、セキュリティソリューションの無効化とプロセスの終了、および検出回避
PuTTY SSHクライアントの展開による、Linuxシステムへのラテラルムーブメント円滑化
複数のシステムディレクトリに配備されたSOCKSプロキシインスタンス（COROXYバックドア）による、C2トラフィックパターンの難読化とネットワークモニタリングソリューションの回避
WinSCPの使用による、LinuxランサムウェアバイナリをWindowsシステムへ展開する際のファイル転送保護
Splashtop Remoteのマネジメントサービス（SRManager.exe）の使用による、Windowsシステム上におけるLinuxランサムウェアバイナリの直接実行

この攻撃で使われたLinuxランサムウェアバイナリはクロスプラットフォーム性能を実現し、「環境内のWindowsとLinux、両システムに単一のペイロードで影響を与える」能力を攻撃者に与えたとトレンドマイクロは指摘。また、アップデートされたサンプルにはNutanix AHVを検出する性能が加わっており、「標的範囲がハイパーコンバージドインフラストラクチャプラットフォームにまで拡大された」ことも伝えた上で、「これはこの脅威アクターが従来型のVMwareデプロイ環境にとどまらず、最新のエンタープライズ仮想化環境に適応していることを示している」と評価した。

トレンドマイクロはこうした攻撃に備えるためのベストプラクティスとしてリモートアクセスツール・RMMツールの安全対策やバックアップインフラのハードニングといった対策を推奨した上で、関連するIoCも共有している。

Gmailで大規模データ侵害が発生したとのニュースをGoogleが否定

BleepingComputer – October 27, 2025

一部ニュースメディアが「データ侵害の発生により1億8,300万件のGmailアカウントが漏洩した」とのニュースを報じる中、Googleは自社におけるこのような侵害の発生を否定。漏洩アカウントはGmailシステムから盗まれたわけではなく、ここ数年間の間にインフォスティーラーマルウェアにより窃取された認証情報やその他の攻撃で盗み出された認証情報が組み合わされたものだと説明した。

この虚偽ニュースは元々、Have I Been Pwned（HIBP）に1億8,300万件分の認証情報が追加されたことに由来する。このデータは脅威インテリジェンスプラットフォームのSynthientにより共有されたもので、スティーラーマルウェアや不特定多数のデータ侵害、クレデンシャルスタッフィング、フィッシングなどにより盗み出された情報の集まり。またGmailなど特定の1つのプラットフォームのアカウントというわけではなく、数千〜数千万ものサイトのアカウントに関する情報だとされる。さらにHIBPの創設者であるTroy Hunt氏は、これらの認証情報1億8,300万件のうち、91%は過去に観測されたものであると説明しており、数年間にわたってすでに世に出回っていたものがほとんどであることも示唆されている。

Googleが「Gmailが侵害された」との虚偽のニュースの否定を強いられたのは、今回が2度目。前回は10月、Salesloftの侵害に関連して少数のGoogle Workspaceアカウントが影響を受けたことに端を発し、「25億件のGmailアカウントが侵害された」とのニュースが出回っていた。

いずれのケースでもデータ侵害のニュースは誤っていたものの、漏洩した認証情報の脅威がなくなるわけでも、無視してよくなるわけでもないとBleepingComputer紙は指摘。Change Healthcare（UnitedHealth）がランサムウェア攻撃を受けた事例ではCitrixの漏洩認証情報が初期アクセスベクターになったことに言及し、注意を呼びかけた。