Qilinランサムウェアは、自身のダークウェブリークサイトにサイエントロジー教会を掲載し、侵害の犯行声明を出すとともに、アクセスの証拠として22枚のスクリーンショットを公開した。グループは、どれほどのデータを盗んだと主張しているのか、また侵害がどのように発生したのかについては明らかにしていない。
流出したスクリーンショットの分析
Qilinが共有したスクリーンショットは、サイエントロジー教会の主要拠点の一つであるAdvanced Organisation Saint Hill UK(AOSH UK)の内部アクセスを示している。複数の文書には、宗教スタッフのビザ申請記録が含まれており、英国のReligious Workerビザを申請している実名の個人が記載されている。
いくつかの承認文書には、移民関連費用として1人あたり2,600ポンド、4,500ポンド、1,800ポンドなどの具体的な金額が示されている。ある統合サマリーでは、単一の資金サイクルで複数のビザ申請に対して1万1,500ポンド超が承認されていることが分かる。これらの文書には、日付、内部承認、スタッフ名、部門の参照情報が含まれており、内部の人事・財務ワークフローへのアクセスがあったことを示唆している。
流出資料の大きな部分は、運営費、郵送キャンペーン、イベント運営に関するものだ。あるファイル群では、週次のレター発送、4,000人への大量郵送、カレンダーの発送、1万2,000人へのホリデーカード配布のために3万ポンドの予算申請が詳細に記載されている。
追加の記録では、国際郵便のフルフィルメントと郵送料として6,351ポンドが承認されている。イベント運営関連の文書には、大規模イベント向けのAV機器の購入・レンタルに6,000ポンド、さらに年末年始の活動用のテレビ画面、スタンド、スピーカーに1,550ポンドが計上されている。これらの承認記録から、キャンペーン計画、調達、内部の財務統制の実態がうかがえる。
露出したデータには、セキュリティ計画も多く含まれている。2つの別々のスプレッドシートには、2024年と2025年のセキュリティ予算が記載されており、合計額は10万ポンド近くに達している。項目には、巡回および爆発物探知犬サービス、要人警護チーム、追加車両、地域の警備業者、救急車、無線機、フェンス、金属探知機、外周構築、ゲート管理などが含まれる。
個別の明細には、要人警護チームに7万4,326ポンド、地域の外周警備に2万9,217ポンド、さらに犬による捜索活動、物流車両、一時的な監視設備などに数千ポンドが割り当てられていることが示されている。各項目には担当責任者と承認状況が記載されており、このデータがランダムなファイルではなく、構造化された内部予算システムから取得されたものであることを示している。
いくつかのスクリーンショットでは、財務請求書や銀行情報も露出している。あるチェコ企業からの請求書では、自己啓発およびコミュニケーション・カウンセリング75時間分として1万2,565ユーロが請求されており、受取口座のIBANおよびSWIFT情報も含まれている。他の内部購買発注書には、事務用品、宗教関連資料、組織内で使用される文書処理システムのために確保された資金が示されている。
個人情報および会員関連データも確認できる。「Saint Hill Services Questionnaire」と題された書類には、手書きの氏名、サービスの選択内容、特定の内部プログラムに参加する意向が記載されている。別の手書きの受付フォームには、渡航歴、過去のコース参加歴、所属組織、内部ケース履歴が記されている。
「Latinoles Clear Band November 2025」と題された別のスプレッドシートには、アルゼンチン、ブラジル、チリ、コロンビア出身の数十名が記載されており、氏名、電話番号、処理レベル、残高、渡航歴、内部ステータスのメモが含まれている。これが本物であれば、宗教活動への参加および内部分類に紐づく機微な個人データが露出していることになる。
内部統治に関連する資料も存在する。ある倫理報告書には、会員同士の内部支払い取り決めが記載されており、署名入りの確認書も含まれている。この種の文書は通常公開されることはなく、管理部門またはコンプライアンス関連の保管領域へのアクセスがあったことを示している。
総合的に見ると、スクリーンショットにはログインポータルや認証情報は表示されていない。その代わりに、財務、人事、セキュリティ、会員管理に関する内部文書リポジトリへの構造化されたアクセスが示されている。本物であれば、単一の端末ではなく、ファイルサーバー、共有ドライブ、または文書管理レベルでの侵害を意味する可能性が高い。
Qilinランサムウェアについて
Qilinランサムウェア(旧称Agenda)は、2022年半ばに登場し、ランサムウェア・アズ・ア・サービス(RaaS)モデルで運営されている。地下フォーラムでの活動や被害者の傾向から、このグループはロシア拠点、もしくはロシア語話者であると広く見られている。
多くの現代的な恐喝グループと同様に、Qilinはファイル暗号化とデータ窃取を組み合わせた二重恐喝モデルを採用している。被害者は、システム復旧のため、そして流出データの公開を止めるための支払いを迫られる。
Qilinのアフィリエイトは通常、盗まれた認証情報、露出したリモートサービス、またはフィッシングを通じてアクセスを獲得する。侵入後は、横方向に移動し、大量のデータを抽出し、復旧システムを無効化したうえで、広範囲にランサムウェアを展開する。支払いを拒否した被害者は、サンプルファイルとともにQilinのリークポータルに掲載され、圧力をかけられる。
過去2年間で、Qilinは医療、製造業、公共サービス、インフラ分野への攻撃と関連付けられている。英国では、医療診断サービスを混乱させた攻撃により世界的な注目を集めた。2025年6月、英国当局は、2024年6月にNHSを標的としたQilinランサムウェア攻撃に関連して、患者1名の死亡を確認した。
国際的には、物流、プロフェッショナルサービス、大企業環境などの被害も主張している。2025年までに、脅威追跡グループはQilinを世界で最も活発なランサムウェアオペレーションの一つとして位置付けている。
サイエントロジー教会への攻撃主張の現状
現時点では、サイエントロジー教会に対する侵害の主張は未確認のままである。公に入手可能な証拠は、Qilinがリークサイトに掲載したスクリーンショットのみだ。独立したフォレンジック調査による確認は出ておらず、外部検証のためのデータアーカイブも公開されていない。スクリーンショットは、AOSH UKに紐づく予算書式、フォームテンプレート、署名、部門名の命名規則などの点で、内部的な一貫性はあるように見える。
Hackread.comはコメントを求めてサイエントロジー教会に連絡を取っている。もし事実であれば、露出の範囲には、機微な財務計画、セキュリティ運用、スタッフの移民関連記録、会員の個人情報が含まれることになる。
確認が得られるか、あるいは追加データが公開されるまでは、このインシデントは攻撃者側が提示した資料のみによって裏付けられた主張にとどまる。状況の進展に応じて、さらなる更新が行われる予定だ。
翻訳元: https://hackread.com/qilin-ransomware-church-of-scientology-data-theft/
