サイバーセキュリティ研究者らが、Qilinランサムウェアグループの戦術を明らかにしました。この戦術は、マイクロソフトのWindows Subsystem for Linux(WSL)を悪用して、Windowsマシン上でLinuxベースの暗号化ツールを実行します。この方法により、攻撃者は伝統的なツールがしばしば見落とすLinuxサンドボックス環境で動作することで、多くのエンドポイント検出および応答(EDR)システムを回避できます。この手法は、オペレーティングシステムを融合させたランサムウェア操作の洗練度の高まりを強調しています。
Qilinランサムウェアグループは、開発者が仮想マシンなしでLinux環境を実行するためのWindowsの組み込み機能であるWSLを活用した隠密なアプローチを採用しました。BleepingComputerのサイバーセキュリティ専門家による分析によると、オペレーターは簡単なコマンドでWSLを有効化し、UbuntuのようなLinuxディストリビューションをインストールし、Linux用にコンパイルされた暗号化ツールを展開します。これらのペイロードは、Linuxのサンドボックス空間内で動作し、Windowsファイルをアクセスして暗号化し、主にWindowsプロセスを監視するEDRツールからの検知を回避します。
この戦術は最近の攻撃で現れ、2025年10月29日頃に報告が表面化しました。従来のセキュリティソリューションはWindowsネイティブのマルウェアに焦点を当て、Linuxサブシステムをスキャンせずに残すと、TechRadarの報告で指摘されています。活性化されると、暗号化ツールは重要なデータをロックし、暗号通貨による支払いを要求する身代金メモを残し、他のグループのメモを模倣します。
WSLには管理者アクセス権のみが必要で、攻撃者はフィッシングや脆弱性などの初期侵害を通じてこれを取得します。これらは現代のWindowsバージョンの一般的なエントリーポイントです。この低い障壁により、シームレスな統合が可能になり、Windowsが支配的だがLinux要素が存在するハイブリッドIT環境に盲点が生じます。
この進展は、ランサムウェアの広範なトレンドを示しており、BuhtiのようなグループがLockBitやBabukからのコードを適応させて複数のプラットフォームを標的にしています。サイバーセキュリティ企業は、このようなクロスオペレーティングシステム攻撃の急増を報告しており、脅威検知を複雑化しています。緩和策として、専門家はWSL監視の強化、最小特権アクセスの施行、定期的なパッチ適用、および予期せぬLinuxインストールのような異常を検知するための行動分析の使用を推奨します。
オペレーティングシステムがWSLのような機能を通じて収束するにつれ、組織は統一されたセキュリティ対策を採用する必要があります。これらのギャップに対処しない場合、エンタープライズネットワークで検知されない侵害が増加する可能性があります。