Edgen Crypto·Nov 27 2025, 12:18Qilinランサムウェアグループは、マネージドサービスプロバイダー(MSP)を侵害することにより、巧妙なサプライチェーン攻撃を実行し、韓国の金融機関28社で大規模なデータ侵害を引き起こしました。反汚職のリークとして位置づけられたこの攻撃では、2テラバイトを超えるデータが流出しました。
Qilinランサムウェアグループは、韓国の金融セクターを標的とした大規模なサプライチェーン攻撃を実行し、28の機関に影響を与えるデータ侵害を引き起こしました。単一のマネージドサービスプロバイダー(MSP)を侵害することにより、攻撃者は2テラバイトを超えるデータを流出させました。「韓国リークス」と名付けられたこの作戦は、組織的な腐敗を暴露する試みとして公に報じられ、研究では北朝鮮と関連する国家支援の行為者が関与している可能性が示唆されています。
今回の侵害は、名称不明のマネージドサービスプロバイダー(MSP)の侵害を通じて開始され、攻撃者にその顧客ネットワークへのゲートウェイを提供しました。このサプライチェーンのベクトルにより、RaaS(サービスとしてのランサムウェア)モデルで運営されるQilinグループは、28の異なる金融機関を同時に侵害することができました。攻撃者は、100万を超える文書、合計2TB以上のデータを盗んだと主張しています。
公開声明では、グループはこの攻撃を公共サービスとして位置づけ、「株式市場操作の証拠」となる可能性のあるファイルを公開し、「韓国の著名な政治家やビジネスマン」を指名する意図を表明しました。このキャンペーンは、攻撃が終了したと宣言し、被害者が「詐欺師のネットワーク」の一部であると主張する投稿で締めくくられ、調査の責任を韓国当局に転嫁しました。
この事件は、主要なRaaSグループの能力と潜在的な地政学的動機を組み合わせたハイブリッドな性質によって特徴づけられます。分析によると、北朝鮮と関連しているとみられるハッキンググループMoonstone Sleetとの協力関係が示唆されています。これにより、この事件は標準的な金銭目的のランサムウェア攻撃から、国家に影響された情報戦キャンペーンへと格上げされます。
サイバーセキュリティ企業Darktraceによる類似のQilin攻撃に関する技術分析では、異常なサーバーメッセージブロック(SMB)およびDCE-RPCアクティビティ、高頻度のリモートデスクトッププロトコル(RDP)使用、既知のコマンド&コントロール(C2)サーバーへの接続を含む異常なネットワークトラフィックが特定されました。Qilinが利用するRaaSモデルは、関連会社にツールとインフラを提供することで、このような高度で大規模な攻撃を可能にします。
今回の事件が韓国金融市場に与える直接的な影響は、機関の評判と投資家の信頼に対する重大な打撃です。この侵害は、セクターがサードパーティサービスプロバイダーに依存していることにおける決定的な脆弱性を露呈させ、ベンダーリスク管理プロトコルに対する厳格な規制審査を促すことが予想されます。攻撃者が汚職と市場操作を主張する物語は、金融システムに対する一般の信頼をさらに損なうように仕向けられています。
財務上の損失は、身代金支払いの可能性を超えて、インシデント対応、フォレンジック調査、システム修復、および潜在的な規制上の罰金に関連するコストを含みます。MSPを標的とすることは、単一の障害点が広範囲にわたる相互接続された機関を危険にさらす可能性があるため、システムリスクの可能性を拡大させます。
「韓国リークス」事件は、重要インフラを標的とした複雑なサイバー攻撃の増加傾向の一環です。2025年にはTicketmasterやOpenSeaなどの企業で多くのデータ侵害が見られましたが、この攻撃はサプライチェーンの手法と公然とした政治的メッセージによって際立っています。データ窃盗を暴露として位置づけ、「韓国の法執行機関と独立ジャーナリストはこれらの文書を調査する義務がある」と公に要求することで、攻撃者は盗まれたデータを社会的・政治的混乱を引き起こすための武器化しており、この戦術はランサムウェアキャンペーンにおける重要な進化を示しています。