サイバー攻撃事件簿:ランサムウェア「Qilin」編
投稿更新日: 2025/6/10
このブログで、不定期連載で、「サイバー攻撃事件簿」と題し、サイバー攻撃に関するニュースを取り上げ、事件の内容と、どんな対策有効なのかを啓発していきます。今回は、2025年2月、関東地方の医療機関で発生したランサムウェアによる個人情報漏洩事件を取り上げます。
概要
- 英国のComparitechによると、2025年2月に関東地方のクリニックで約30万人の患者情報が、中国発の「Qilin(キリン)」ランサムウェアにより流出しました 。
Qilin(キリン)ランサムウェアとは
- Qilin(キリン)は、2022年以降に活動が確認されている比較的新しいランサムウェアグループで、その名称はランサムウェア自体の暗号化ファイル名やリークサイトの識別子としても使われています。
🐉 Qilinランサムウェアの特徴
| 特徴 | 内容 |
|---|---|
| 種類 | ランサムウェア(RaaS:Ransomware-as-a-Service型) |
| 初観測 | 2022年後半頃から(2023年に活動が活発化) |
| 攻撃対象 | 医療、製造、教育、政府など幅広い業種 |
| 感染経路 | フィッシングメール、RDP(リモートデスクトップ)経由、既知の脆弱性の悪用 |
| 暗号化方式 | AESおよびRSA併用(高速かつ強力) |
| 二重脅迫 | ファイルの暗号化+情報のリークサイト公開によるダブルエクストーション戦略 |
🔍 Qilinの攻撃手法の流れ(典型的なパターン)
-
初期侵入: メール添付やソーシャルエンジニアリングを使って、ネットワーク内に侵入。
-
横展開: 内部ネットワーク内の他システムに感染を拡大。管理者権限を奪取。
-
データ窃取: 暗号化前に重要ファイルを抜き出し、自らのダークウェブサイトに転送。
-
暗号化: ローカル・ネットワーク上のファイルを暗号化し、復号と引き換えに身代金を要求。
-
脅迫: 支払わない場合は「データ公開」または「再攻撃」を示唆。
実際の脅迫文(例)
All your important files have been encrypted by Qilin.
To recover them, you must contact us via our portal. Failure to comply will result in data publication.
🛡️ 対策ポイント
-
多層的防御: EDR(Endpoint Detection and Response)や振る舞い検知ベースのセキュリティソフトの導入。
-
定期的なバックアップと復旧訓練: オフラインバックアップを実施し、復旧プロセスを事前に検証。
-
アクセス制御と最小権限: 管理者権限の管理、RDPの無効化またはVPN経由に制限。
-
脆弱性管理: OSやソフトウェアのアップデート、ファイアウォールとIPSの適用。
-
セキュリティ教育: 社員・スタッフへのフィッシング訓練やインシデント通報体制の構築。
🩺 被害の全容
発覚と対応経緯(2~3月)
-
2月10日にシステム障害が発生し、クリニック側が調査の結果、ランサムウェア攻撃であることを確認(2月18日公表) CEO Josh Miller氏は以下の理由を挙げています:
-
同日、サーバーはインターネットおよび院内ネットワークから隔離され、使用不能状態に。業務—特に診療や検査等—に影響が続きました。
-
3月31日までに、専門機関と警察による調査を進行中とし、不正アクセスや情報漏洩の可能性を公表しましたが、現時点で不正利用の確認はないとしています。
漏洩情報の範囲と規模
-
最大で約30万人分の患者および関係者の個人情報がサーバーに保存されていた可能性あり
-
Qilinはダークウェブで、**135~140GB相当(約17.8万ファイル)**のデータを盗んだと主張。
-
漏洩対象には以下が含まれるとされています:
- 氏名・住所・連絡先・診療履歴・健康診断結果
- X線画像・心電図・検査画像
- 保険証画像、医療機器マニュアル、議事録など内部資料
漏洩情報の範囲と規模
-
クリニックの全診療・健康診断業務は、およそ3ヶ月後の5月14日にようやく通常再開したとの報道あり
-
復旧後も、警察や外部専門機関との協力のもと、調査と体制見直しを継続中
✅ 教訓と今後の対策方向
1. バックアップと事業継続計画(BCP)の整備
→ 約30万人分の敏感情報が流出または漏洩リスクあり。
2. アクセス制御強化とログの徹底監視
→ 特権アクセスの制限と侵入の早期発見。
3. 検査データや画像含む機密データの暗号化
→ 万が一の流出時にも情報価値を低減。
4. 定期的な外部セキュリティ監査の実施
→ 脆弱性の早期発覚・改善。
5. インシデント発生時の透明な情報開示
→ 利用者と地域社会の信頼回復に向けた取り組みが不可欠。
この記事をシェアする
合同会社raisexでは一緒に働く仲間を募集中です。
ご興味のある方は以下の採用情報をご確認ください。