Qilinが韓国MSP経由で28組織に拡大、“Korean Leaks”で市場心理を狙う多波攻撃

今日の深掘りポイント

• 1つのMSP侵害から少なくとも28組織に波及したサプライチェーン型エクストーション。RaaSのスケールとMSP集中管理の構造的脆弱性が噛み合った事案です。
• 流出量は1M+ファイル/約2TB、3つの“波”で圧力を段階的に高める攻撃設計。金融市場への影響を強調するメッセージで、規制リスクと信用不安をレバレッジしています。
• 北朝鮮系アクター関与の可能性が指摘されるが、現時点の公開情報は限定的。犯罪/RaaSアフィリエイトと国家系の境界が曖昧化するトレンド文脈で解釈すべきです。
• 直近の運用優先度は「委託先特権の最小化」「RMM/ソフト配布基盤のゼロトラスト化」「外向きデータ流出の監視・強制制御」「バックアップ管理面（コントロールプレーン）の分離」です。
• 現場視点では“暗号化の痕跡”に囚われず、データ持ち出しと三段階の情報公開（サンプリング→部分公開→全面公開）を基軸に検知・封じ込め手順を設計すべきです。

はじめに

韓国のMSPを起点に、Qilinランサムウェアが28の被害組織からデータを盗み出し、“Korean Leaks”と称するキャンペーンで公開圧力をかけています。報道が伝える流出規模は100万件超のファイル、約2TB。攻撃は3つの波で展開され、金融市場への影響を殊更に訴求するメッセージが用いられたとされます。QilinはRaaSモデルを採用し、2025年10月時点で180超の被害主張に達し市場シェアが大きいと報じられています。北朝鮮系アクター関与の示唆もありますが、公開技術情報はなお限定的で、仮説段階として扱うのが妥当です。The Hacker Newsの報道以外の一次情報は本稿執筆時点で確認できないため、以下は同報道に基づく事実の整理と、MSP依存度の高い金融セクターに特有の示唆を中心に掘り下げます。

本案件のリスク評価は、即応性と信頼性が高く、影響の大きさも無視できない一方で、完全に新種の技術ではなく、既知TTPの合成と運用巧拙で押し切るタイプです。したがって、対策は「地味だが確実な運用強化」を優先するのが最も効果的です。

深掘り詳細

事実整理（公開報道に基づく）

• 侵害起点は韓国のMSP。MSPから配下の少なくとも28組織に被害が拡大したと報じられています。
• 攻撃者は「Korean Leaks」と名付けたキャンペーンを用い、100万件超のファイルと約2TBのデータを盗み出したと主張しています。
• 公開・脅迫は3つの波で進行。金融市場への影響を強調するメッセージを交えて、規制当局調査の喚起を示唆する文面も含んだとされます。
• QilinはRaaS（Ransomware-as-a-Service）として運営され、被害主張の件数や活動量が直近で上振れしていると報じられています。
• 北朝鮮系アクター関与の可能性が指摘されていますが、技術的裏取り（ツール・インフラ・暗号化器の系譜、クラスタリング指標など）は記事時点で限定的です。
• 出典はいずれもThe Hacker Newsの報道です（一次技術詳細は未公開）［参考: The Hacker News］。

出典: The Hacker News

編集部インサイト（仮説はその旨明記）

• なぜMSPなのか
  単一侵入口で複数顧客の信頼・特権・配布基盤（RMM/ソフト配布/監視）に波及できるため、RaaSアフィリエイトにとって「費用対効果」が抜群です。MSP内部のテナント分離や署名付き配布、オペレータの特権管理が不十分だと、爆発半径が一気に広がります。これは日本の大手SIerや共同センターでも同質の構造的リスクです。
• 三段波の意味
  データサンプリング→部分公開→全面公開は、交渉圧力と報道熱の持続を意図した“興行設計”です。暗号化の有無に関わらず、情報公開サイクルで株価・評判・規制リスクを段階的に積み上げ、支払意思を引き出します。SOC/IRは「暗号化兆候が薄い＝安全」と判断しない体制が必要です。
• 規制リスクのレバレッジ
  「金融市場への影響」「データ保護法に基づく調査の喚起」といったメッセージは、事実上“トリプルエクストーション”（被害者、顧客、規制・世論）です。上場企業や金融機関が最も弱い部分を突くことで、短期の交渉優位を築く狙いがあります。
• 国家系関与の示唆について（仮説）
  仮に北朝鮮系アクターが関与しているなら、犯罪エコシステム（RaaSアフィリエイト）と国家系（金銭・影響目的）のハイブリッド化が一層進むことを示します。ただし公開ソースでは確証に足る技術指紋が乏しく、当面は「アフィリエイト混在」「ツール共有」「マネタイズ協業」の可能性を並行評価すべきです。いずれにせよ、被害側の備えは変わりません。
• 日本企業への示唆
  韓国拠点のMSPやグローバルMSPは日本企業の業務委託にも関与しがちです。取引先の地理に拘らず、「委託先特権の最小化」「MSP経由の外向きデータ流出監視」「配布基盤の署名・承認・隔離」の適用範囲を全社で棚卸しする必要があります。

脅威シナリオと影響

想定シナリオA：MSP配布基盤の乗っ取りによる多顧客同時侵入

• 概要
  攻撃者がMSPのRMM/ソフト配布、もしくは遠隔管理アカウントを奪取し、一斉にエージェント更新・スクリプト投入でペイロードを配布。暗号化は状況に応じてオンデマンド、主軸はデータ持ち出しと公開圧力。
• 代表TTP（MITRE ATT&CK仮説）
  • 初期侵入: Supply Chain Compromise（T1195）、Valid Accounts（T1078）、External Remote Services（T1133）、Exploit Public-Facing Application（T1190）
  • 実行/横展開: Command and Scripting Interpreter（T1059）、Windows Management Instrumentation（T1047）、Remote Services（T1021: RDP/SMB）、Software Deployment Tools（T1072）
  • 資格情報/権限昇格: OS Credential Dumping（T1003）、Access Token Manipulation（T1134）、Exploitation for Privilege Escalation（T1068）
  • 収集/流出: Archive Collected Data（T1560）、Data Staged（T1074）、Exfiltration Over C2 Channel（T1041）、Exfiltration to Cloud Storage（T1567）
  • 影響: Data Encrypted for Impact（T1486）、Inhibit System Recovery（T1490）
• 影響
  同時多発の持ち出しにより、多数の開示・通報義務が連鎖。金融機関であれば市場対話・規制対応が臨界に達し、BCP/業務継続の優先順位判断が難化します。

想定シナリオB：ベンダー偽装による標的組織単独の二次侵入・恐喝

• 概要
  侵害済みMSPや偽MSPを名乗って、特定組織に「緊急パッチ適用」や「アカウント検証」を装ったフィッシング/サポート・インパーソネーションを実施。内部に侵入後、取引先・重要顧客のデータを選択的に収集し、規制当局・報道向けの“読み物”として加工して公開。
• 代表TTP（MITRE ATT&CK仮説）
  • 初期侵入: Phishing（T1566）、Valid Accounts（T1078）
  • 実行/持続: Signed Binary Proxy Execution（T1218）、Scheduled Task/Job（T1053）、Boot or Logon Autostart Execution（T1547）
  • 収集/流出: Exfiltration Over C2（T1041）、Exfiltration to Cloud（T1567）
• 影響
  単体企業のブランド・信用・規制対応コストが急増。役員説明責任と市場コミュニケーションで守りが後手に回ると、交渉材料を与えかねません。

想定シナリオC：情報公開“3波”を用いた市場心理操作（仮説）

• 概要
  第1波でサンプル公開と当局喚起を示唆、第2波で業界横断性を強調、第3波で完全公開を宣告して株価・評判・法的リスクの相関を最大化。
• 代表TTP（MITRE ATT&CK仮説）
  • 情報操作自体はATT&CK外だが、リークサイト運用と段階的公開はCollection/Exfiltration後のImpactフェーズを延伸運用する手口です。
• 影響
  IR/法務・広報・市場との対話の同時多面展開が不可避。インシデント封じ込めより先に“外部反応”がドライバになるため、BCPと危機広報の統合運用が鍵になります。

セキュリティ担当者のアクション

短期（今すぐ）

• ベンダー/委託先の特権棚卸し
  • MSP・SIer・保守委託が保有する特権ID、RMM/配布ツール、ジャンプホストを全社横断で可視化します。
  • 委託先IDは“常時特権”を廃止し、Just-In-Time（時間制限・申請承認）と多要素認証の強制を標準化します。
• 配布・遠隔管理系のゼロトラスト化
  • 管理プレーン（RMM/配布/SIEM等）を専用ネットワーク/端末に隔離し、相互TLS・デバイス証明書・承認付きデプロイを必須化します。
  • 署名済みパッケージ以外の配布禁止、スクリプト実行は事前審査/二名承認にします。
• 外向きデータ流出の強制制御
  • 主要SaaS/クラウドストレージ（正規/匿名）の宛先をレジストリ化し、組織外かつ未承認宛先への大容量送出をブロック/隔離します。
  • 7z/rar等の大量アーカイブ生成、異常な暗号化拡張子付与、短時間の高速転送をUEBAで監視します。
• バックアップの“管理面”防御
  • イミュータブル/オフラインを前提に、バックアップ管理者IDを生産系IDから完全分離。バックアップ管理プレーンへの委託先アクセスを禁止、もしくはJIT＋専用踏み台に限定します。
  • 復旧訓練は「暗号化なし・流出のみ」のシナリオも実施します。
• 初動遮断の手順整備
  • ベンダー接続の一括遮断（VPN/IdP/ファイアウォールの切り離し）手順、ベンダーIDの強制ローテーション、RMM停止・証明書失効のオペレーションをプレイブック化します。

中期（1–3ヶ月）

• 契約・ガバナンスの更新
  • 委託先に対し、侵害時の24時間以内通知、フォレンジック協力、ログ保全、二名承認/署名付配布/ゼロトラスト接続の遵守をSLA化します。
  • 監査権限と実地テスト（レッドチーミング/テーブルトップ）を契約に明記します。
• モニタリングの深掘り
  • イベントの相関（RMMからのスクリプト配布→大量アーカイブ生成→外向き転送）をユースケース化。Windows 4624/4672、プロセス作成、ネットワークフローを掛け合わせた検知を整備します。
  • Qilinリークサイト/関連インフラの外形監視を脅威インテリジェンス要件に組み込みます（報道ベース）。

長期（継続）

• アーキテクチャ再設計
  • 管理系は“別世界”。特権は短命・要求時払い・観測可能、を原則に据えます。
  • 業務クリティカル領域に対し、MSP経由の横断配布・横断認証を技術的に不可能にするセグメンテーション／境界強制を行います。
• 組織リハーサル
  • “三段波公開”に合わせた危機広報・規制対応・交渉方針の演習を、技術封じ込めと並走で訓練します。暗号化なしの流出-only事案を前提に、事実確認と第三者説明の分業を整えます。

運用ヒント

• 暗号化の兆候がなくても、アーカイブ生成・メタデータ消去・クラウド向け高速送信の組み合わせは高精度な早期兆候になります。
• ベンダー出自のRDP/WinRM/PowerShell大量実行は“日常の顔をした異常”になりがちです。通常時のベースラインを定量化し、例外承認のログを相関に組み込むと誤検知を抑えられます。

参考情報

• The Hacker News: Qilin Ransomware Turns South Korean MSP Breach into 28 Victims, 2TB of Data in ‘Korean Leaks’ Campaign
  https://thehackernews.com/2025/11/qilin-ransomware-turns-south-korean-msp.html

注記

• 本稿は上記公開報道に基づく事実整理と、MSP/金融セクターに特有の脅威モデリングを編集部見解として付したものです。国家系関与などの点は仮説を含み、確証的な技術指紋が公開されるまでは断定を避けるべきだと考えます。