2026年1月18日、ベトナム航空に何が起きたか

2026年1月18日、ランサムウェアグループ「Qilin」がベトナム国営航空会社ベトナム航空のネットワークに侵入し、412名の社内従業員の認証情報、7,858件のユーザーデータ、180件の外部委託先従業員のクレデンシャルを窃取したことが明らかになった。Qilinは典型的な「二重恐喝」モデルを採用しており、暗号化した被害者ファイルの復号キーを要求すると同時に、盗んだデータを交渉が始まらなければ公開すると脅す。ベトナム航空のような国家フラッグキャリアが、従業員の認証情報という一点から崩れた事実は、現代のランサムウェア攻撃の変質を象徴している。

元記事・原文引用

元ネタQilin Strikes Vietnam Airlines in Major Ransomware Attack(Malware.news / 2026年1月18日)

“Qilin has threatened to release sensitive data unless negotiations are started. Infostealer detections linked to the breach include RedLine, Lumma, and Raccoon.”

フィッシングでも脆弱性でもない——インフォスティーラーが開けた「正面玄関」

今回の攻撃で注目すべきは侵入経路だ。Qilinは標的組織のサーバーに直接攻撃を仕掛けたのではない。RedLine・Lumma・Raccoonという3種のインフォスティーラー(認証情報窃取型マルウェア)が、事前に従業員のパスワードや社内システムへのアクセストークンを盗み出しており、Qilinはその盗まれた認証情報を「鍵」として使って正規のログインさながらにネットワークへ侵入した。インフォスティーラーはダークウェブ上で「マルウェア・アズ・ア・サービス」として月額数千円から提供されており、侵入・窃取・売却という分業体制が確立されている。ランサムウェアオペレーターが直接マルウェアを配布する必要すらなく、闇市場で買った認証情報一つで大企業に入り込める構造が、攻撃のコストを劇的に下げている。

Qilinとはどんな組織か——1,000社超を攻撃した「無差別型」の実態

Qilinは2022年頃から活動を開始したランサムウェア・アズ・ア・サービスグループで、2025年だけで1,000社以上を攻撃し、31.2ペタバイトにのぼるデータを窃取したと主張している。攻撃ペースは月40件超を維持しており、2026年に入ってからもわずか数週間で55件以上の新たな被害者をリークサイトに追加した。製造業が標的の約23%を占めるが、医療・航空・地方自治体といった「歴史的に攻撃されにくかった」業種にも手を伸ばしており、2025年2月にはロンドンの大手医療機関への攻撃で患者1名が死亡、170件以上の医療被害が確認されるという前例のない事態を招いた。業種を選ばない姿勢は、高い身代金要求と組み合わさって組織に最大限の圧力をかける戦術の一部だ。

日本はQilinの最大標的国のひとつ——16.4%が示す現実

この問題は遠い国の話ではない。シスコのセキュリティ部門タロスの分析によると、2025年の日本国内のランサムウェア被害報告件数は134件(前年比17.5%増)に達し、そのうちQilinによるものが16.4%と最大シェアを占めた。国内の被害企業にはアサヒグループホールディングス(約150万件の記録漏洩)、日産クリエイティブボックス、尾崎医療などが含まれる。情報処理推進機構(IPA)が2026年1月に発表した「情報セキュリティ10大脅威 2026」でもランサム攻撃が組織部門の第1位に選出されており、日本企業が直面するリスクは統計的に裏付けられている。ベトナム航空の事例が示す教訓は3点に集約される。第一に「パスワードリスト売買市場」が機能している以上、従来の境界防御だけでは不十分であること。第二に多要素認証(MFA)の全社展開が最も費用対効果の高い対策であること。第三にサプライチェーン上の外部委託先(今回は180件の第三者認証情報が漏洩)も自社と同等のリスク管理が必要であることだ。

「流出済みパスワード」を前提とした防御設計が問われる

Qilinによるベトナム航空への攻撃が示す本質は、「パスワードはすでに盗まれている可能性がある」という前提で組織を設計できているかという問いだ。インフォスティーラーは感染した端末からサイレントにログイン情報を収集し、ダークウェブで売買される。被害者本人が気づくことなく、数週間後には攻撃者の手元にある。このサイクルを止めるには、認証情報の漏洩を検知する「クレデンシャル・インテリジェンス」の導入と、仮に正規のIDとパスワードで侵入されても内部の横展開を遅らせる「ゼロトラスト設計」の実装が不可欠だ。国家フラッグキャリアでさえ一人の従業員のパスワードから機能停止に追い込まれた2026年に、日本企業が「パスワードが正しければ信頼する」という設計原則をいつまで維持し続けるのかが問われている。

参照・原文リンク