QilinおよびWarlockのランサムウェアグループが、BYOVD手法を用いて侵害ホスト上のセキュリティツールを無効化していることが、Cisco TalosとTrend Microの調査で明らかになった。
Qilinは悪意あるDLL「msimg32.dll」を展開し、300以上のEDRドライバを終了させる。使用されるドライバはrwdrv.sysとhlpdrv.sysの2種で、AkiraおよびMakopランサムウェアの攻撃にも同ドライバの使用が確認されている。CYFIRMAとCynetの統計によると、Qilinは2025年に日本で報告された134件のランサムウェアインシデントのうち22件に関与し、全体の16.4%を占めた。初回侵害からランサムウェア実行までの平均期間は6日である。Warlockは未パッチのMicrosoft SharePointサーバーを悪用し、2026年1月の攻撃ではTightVNC、NSecKrnl.sys、PsExec、Velociraptor、Cloudflare Tunnel、Yuze、Rcloneなどのツールが使用された。
From: 
Qilin and Warlock Ransomware Use Vulnerable Drivers to Disable 300+ EDR Tools
【編集部解説】
今回の報告が示すのは、単なる「新しいマルウェアの登場」ではありません。セキュリティ業界が長年にわたって積み上げてきた「EDRによる防衛」という構造そのものへの、組織的な攻撃です。
EDR(エンドポイント検知・対応)は、従来のウイルス対策ソフトが見逃してきた「ふるまい」ベースの脅威を検知する、現代の企業セキュリティの要です。ところが今回分析されたQilinの手口は、そのEDRを「攻撃の最初のターゲット」として位置づけています。Cisco Talosの技術解析によれば、マルウェアはFoxitPDFReader.exeなど正規アプリケーションに成りすましてDLLを読み込ませ、3段階のローダー処理を経て最終ペイロードをメモリ上だけで展開します。ディスクに暗号化解除後のファイルが残らないため、従来のファイルベース検知が機能しません。
BYOVD攻撃のポイントは「署名済みドライバ」を悪用する点にあります。Windowsはドライバの署名を信頼の根拠としていますが、攻撃者はその「信頼」を逆手に取ります。今回使われたrwdrv.sysは省電力ツール「ThrottleStop」から流用された正規ドライバで、Windowsカーネルが「安全」とみなすため通過させてしまいます。カーネルレベル(Ring 0)での実行権限を得た攻撃者は、EDRの監視コールバックを解除し、セキュリティプロセスを問答無用で終了させます。
このアプローチがいま急速に広まっている背景には、ランサムウェアの「分業構造」があります。ESETの調査では、野生で確認されているEDRキラーは90近くに上り、そのうち54がBYOVDを採用しています。ランサムウェア・アズ・ア・サービス(RaaS)モデルの普及により、攻撃者はEDRキラーを「調達するもの」として扱うようになっており、暗号化ツール(ランサムウェア本体)の開発とは切り離されています。技術力の低いアフィリエイトでも、アンダーグラウンドマーケットで入手したEDRキラーを使えば、高度な回避行動が可能になるわけです。
さらに注目すべき技術的事実があります。Talosの報告によると、このマルウェアにはロシア語圏を含む旧ソ連圏の言語設定を持つ端末を除外するジオフェンシング機能が実装されています。これは、自国や近隣の法執行機関の目を避けるために、同地域の脅威アクターが頻繁に用いる手口です。攻撃グループの所在地を直接示すものではありませんが、Qilinが高度に組織化された集団であることをうかがわせます。
日本への影響も見過ごせません。Cisco Talosは日本国内のランサムウェア動向についても専用の分析記事を公開しており、2025年の日本国内ランサムウェア件数が前年比17.5%増であったことも報告されています。Qilinが関与した件数を踏まえると、日本は「攻撃される可能性が低い国」という前提はすでに通用しません。
防衛側の課題は「単一製品への依存からの脱却」に尽きます。Cisco Talosが指摘するように、攻撃者は現代の防衛機構を突破するために多くの手順を踏まなければならず、その痕跡は検知可能です。問題は、その痕跡を見つけられる体制が整っているかどうかです。初回侵害からランサムウェア実行まで平均6日間という「猶予」があるという事実は、早期検知が実際に機能しうることを示しており、悲観だけが答えではありません。
なお、Help Net Securityなど複数のセキュリティメディアでは、Warlockが使用したEDRキラーのコードにAI生成の痕跡が確認されたとも報じており、攻撃者側へのAI活用が加速しつつある点も、今後の脅威動向として注視が必要です。
【用語解説】
EDR(Endpoint Detection and Response)
エンドポイント(PCやサーバー)上での不審なふるまいをリアルタイムに監視・検知・対応するセキュリティソリューション。従来のウイルス対策ソフトと異なり、プロセスの動作やメモリの状態など「行動」を分析するため、未知のマルウェアにも有効とされる。現代の企業セキュリティの要である。
BYOVD(Bring Your Own Vulnerable Driver)
「脆弱なドライバを自分で持ち込む」攻撃手法。攻撃者は、正規メーカーによって署名された(=Windowsが信頼している)ドライバの既知の脆弱性を悪用し、OSの深部(カーネル)への不正アクセスを実現する。「署名済み=安全」というWindowsの信頼モデルを逆手に取った手法である。
カーネルレベル(Ring 0)
OSの中核部分であるカーネルが動作する最高特権レベル。このレベルで実行されるコードはシステムのほぼすべてのリソースに制限なくアクセスでき、セキュリティソフトウェアの自己保護機能もここでの操作には対抗しにくい。BYOVD攻撃はこのレベルへの到達を目的とする。
DLLサイドローディング
正規のアプリケーションに対して、本来読み込まれるべき正規のDLL(Windowsの動的リンクライブラリ)の代わりに悪意あるDLLを読み込ませる攻撃手法。正規プロセスの挙動として偽装できるため、セキュリティ製品による検知が困難になる。
RaaS(Ransomware as a Service)
ランサムウェア攻撃を「サービス」として提供するビジネスモデル。開発者グループが攻撃ツールや管理インフラを提供し、実際の攻撃を実行する「アフィリエイト」(加盟攻撃者)と収益を分配する構造。技術力の低い攻撃者でも高度な攻撃が可能になるため、ランサムウェア被害が広がる一因となっている。
ジオフェンシング(Geo-fencing)
地理的条件に基づいてマルウェアの動作を制御する機能。今回のQilinのマルウェアは、旧ソ連圏の言語設定を持つ端末では実行を停止する。自国の法執行機関の目を避けるために、この地域を拠点とする攻撃者グループが頻繁に用いる手口である。
ETW(Event Tracing for Windows)
Windowsに内蔵されたロギング・監視基盤。セキュリティソフトウェアはETWを通じてプロセスの起動やAPI呼び出しなどのテレメトリ(ログデータ)を収集している。今回のマルウェアはETWを無効化することで、防御側の「目」を奪う。
ラテラルムーブメント(横断的侵害)
攻撃者が最初に侵入した端末から、ネットワーク内の他の端末やサーバーへと侵害範囲を広げていく行動。PsExecやRDPなど正規の管理ツールが悪用されることが多く、正常な業務通信との区別が難しい。
【参考リンク】
Cisco Talos Intelligence(外部)
Ciscoが運営する世界最大規模の脅威インテリジェンスチーム。マルウェア解析や脆弱性研究の成果を広く公開しており、今回のQilin EDRキラーの技術分析を実施した。
Trend Micro(トレンドマイクロ)(外部)
日本発のグローバルサイバーセキュリティ企業。統合プラットフォーム「Trend Vision One」を展開し、今回のWarlock攻撃の詳細分析を実施した。
CYFIRMA(外部)
シンガポール拠点のサイバー脅威インテリジェンス企業。地政学的リスクを組み合わせた脅威分析を提供し、Qilinの活動統計の出典元のひとつである。
Cynet(外部)
イスラエル発の自律型サイバーセキュリティプラットフォーム企業。XDRソリューションを展開し、ランサムウェアグループの活動追跡も行っている。
Microsoft SharePoint(外部)
Microsoftのエンタープライズ向けコラボレーション・コンテンツ管理プラットフォーム。Warlockはパッチ未適用のSharePointサーバーを初期侵入口として悪用している。
ESET(外部)
スロバキア発のサイバーセキュリティ企業。ウイルス対策からXDRまで幅広く展開し、「90近くのEDRキラーを追跡」した調査レポートを発表している。
Bitdefender(外部)
ルーマニア発のサイバーセキュリティ企業。2026年のランサムウェア動向調査でBYOVD攻撃の急増と75%以上への普及予測を報告している。
【参考記事】
An overview of ransomware threats in Japan in 2025 and early detection insights from Qilin cases(外部)
Cisco Talosが日本国内のQilin関連ランサムウェア動向を分析。134件中22件に関与、前年比17.5%増などの詳細データを報告している。
Ransomware Attacks Against the US: 2026 Insights(外部)
Bitdefenderによる2026年のランサムウェア動向分析。BYOVD攻撃の急増とEDR無効化の1段階への統合・高速化、75%以上への普及予測を報告している。
54 EDR Killers Use BYOVD to Exploit 35 Signed Vulnerable Drivers and Disable Security(外部)
ESETの調査をもとにした記事。EDRキラー約90種のうち54がBYOVDを採用し、35種の脆弱なドライバを悪用していると報告している。
Qilin EDR killer infection chain(外部)
Cisco TalosによるQilin攻撃のmsimg32.dll詳細解析。3段階ローダー構造とETW抑制・API回避技術の仕組みを詳述している。
Web Shells, Tunnels, and Ransomware: Dissecting a Warlock Attack(外部)
Trend MicroによるWarlock攻撃チェーンの詳細解析。2026年1月のインシデントから新たなTTPとツールセットの全容を明らかにしている。
EDR killers are now standard equipment in ransomware attacks(外部)
ESET研究者へのインタビューをもとにしたEDRキラー解説。RaaSの分業構造とWarlockのAI生成コード活用の実態を報告している。
【編集部後記】
「EDRを入れているから大丈夫」と思っていた組織が、その前提ごと崩される——今回の報告は、そんな現実を突きつけています。私たちも、この手口の巧妙さには率直に驚きました。みなさんの組織やプロジェクトでは、セキュリティの「多層化」についてどのように考えていますか?ぜひ身近な人と話してみるきっかけになれば嬉しいです。
