Qilinがランサムウェア市場を席巻、サイバー犯罪の集約化が加速

ランサムウェアのエコシステムは分散化から再び集約化へと向かっており、LockBitRansomHubといった大手グループの活動停止を受けて、Qilinがランサムウェア・アズ・ア・サービス(RaaS)の最大勢力として台頭しています。

しかしQilinが優位な立場にあるにもかかわらず、The Gentlemenのような新興グループが急速に台頭していることは、サイバー犯罪の勢力図が今なお目まぐるしく変化し続けていることを示しています。

Check PointのVP researchであるLotem Finkelstein氏は、同社の「2026年版サイバーセキュリティレポート」の調査結果に基づき、Qilinが現在サイバー犯罪市場の約16%のシェアを占めていると指摘しました。

Qilinは少なくとも2022年10月から活動しており、現在では技術的に成熟したインフラを運用しています。

Infosecurityの取材に対しFinkelstein氏は、「ここ数か月で見えてきたのは、彼らが再び集約化を進め、主要なランサムウェアグループになりつつあるということです」と語りました。

Infosecurityが確認したSophos X-Ops Counter Threat Unit(CTU)の最新データによると、2026年7月からの過去12か月間で、Qilinはデータ漏洩サイトに1496件の被害者を掲載しています。一方、Akiraは1205件、The Gentlemenは763件でした。

Sophos X-Ops CTUの主任脅威研究者であるAiden Sinnott氏も、Finkelstein氏の見解に同意しています。「Qilinが優勢になった主な理由は、大規模な法執行機関の摘発活動を受けたランサムウェア市場の集約化において、最大の受益者となったことです」

アフィリエイトがQilinの活動に加わる魅力となっているのは、高額なアフィリエイト報酬、成熟したインフラ、継続的な技術革新、そして拡充された恐喝サービスです。

ちょうどこの時期に、LockBitALPHVRansomHubといった競合するRaaSプログラムが崩壊していきました。

「その結果、経験豊富なアフィリエイトが急速に流入し、被害件数が急増しました」とSinnott氏は述べています。

Finkelstein氏はさらに、アフィリエイトが現在ではAIツールを活用してキャンペーンを実行できるようになっており、参入障壁が下がり、野心あるサイバー犯罪者にとって高度な技術知識がそれほど必要でなくなっていると付け加えました。

台頭するThe Gentlemen

しかしComparitechのデータによれば、市場の支配を狙う別のグループも存在します。

このサイバーセキュリティレビュープラットフォームの調査によると、2026年6月にThe GentlemenがQilinを首位から引きずり下ろし、これは実に数か月ぶりのことでした。The Gentlemenは同月に115件の被害を出し、最も活発なランサムウェア株となりました。これに対しQilinは78件でした。

Comparitechのデータ調査責任者であるRebecca Moody氏は、Qilinのターゲットの半数以上が米国拠点の組織である傾向がある一方、The Gentlemenの6月の被害者のうち米国拠点は5件に1件未満だったと指摘しています。

Check Pointが4月に発表した調査結果では、The Gentlemenが勢いを増していることが明らかになっていました。

RaaS admin in underground forum (source: Check Point)

5月に発覚した同グループ内部データベースの流出では、インフラ、アフィリエイト、被害者に関する運用情報が明らかになりました。

この流出データには身代金交渉のスクリーンショットも含まれており、当初25万ドル(アンカー)を要求していた案件で、最終的に19万ドルを受け取った成功事例が示されていました。

Qilinの成長がもたらしうる課題

Qilinが今後も首位の座を維持できるかどうかはまだわかりません。しかしFinkelstein氏は、知名度が上がれば国際的な当局からの望まぬ注目を集めることになると指摘しています。同氏は、LockBitに対してそうであったように、今後法執行機関が間違いなくQilinへの摘発に動くだろうと予想しています。

「[ランサムウェアの運営者たちが]あれほど分散していた時期には、法執行機関は特定の一つに焦点を絞ることができませんでした。しかし今、Qilinのように急速に成長しているグループがある以上、[法執行機関の摘発]は当然予想されることです」

Finkelstein氏は、同グループが手口において非常に創意に富んでおり、フィッシングキャンペーンと脆弱性の悪用の両方を用いていると指摘しました。

6月9日、Check Pointは自社のRemote Access VPNおよびMobile Accessソリューションの脆弱性がQilinの標的となったことを公表しました。幸いにも、Finkelstein氏によれば、これによる影響を受けた顧客は1社のみでした。

「わずか1件のケースでしたが、それでも多すぎる1件でした」と同氏は述べています。

Check Pointは、自社の製品ポートフォリオにおける脆弱性を検出するために、Frontier AI Models Readiness Programを活用しています。

このプログラムの一環として、同社は自社製品全体にわたる大規模なAI主導のコードスキャンを実施し、広範なセキュリティレビューを行い、必要に応じてコンポーネントを強化しました。さらにパッチ適用までの所要時間の手順を見直し、AI主導の新たな脅威の進化速度に対応できるよう、防御機能の開発プロセスを加速させています。

翻訳元: https://www.infosecurity-magazine.com/news/qilin-dominates-ransomware-market/

ソース: infosecurity-magazine.com