本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
1. The Gentlemenについて
The Gentlemenは、2025年半ばに活動が表面化したランサムウェア攻撃グループです。当初はQilinのアフィリエイトとして関与していたメンバーが離脱し、RaaS(Ransomware as a Service)として独立した経緯が、複数の外部調査で指摘されています[1][2]。
確認されている主な手口は、インターネットに公開されたVPN装置(特にFortinet/FortiGate)を経由した不正アクセス、流出した認証情報の悪用、Active Directoryを通じた権限掌握、セキュリティ製品の無効化、データの窃取と暗号化、そしてバックアップへの妨害などです。いずれも近年のランサムウェア攻撃で典型的に観測される手法です。
The Gentlemenの活動は2026年から一段と活発化しました。日本企業を含む多数の被害組織がリークサイトに掲載されており、当社のリークサイト監視でも、掲載件数はQilinなどの主要グループに次ぐ規模で推移しています。
図1: The Gentlemen リークサイトへの掲載数推移(2025年9月〜2026年4月)
2. 流出したデータについて
2026年5月初旬、The Gentlemenの内部チャットログとみられるデータがダークフォーラム上に出回りました。当初は10,000ドル相当のビットコイン建てで販売されていましたが、その数日後、同一人物がデータの共有URLを投稿したことで、結果的に不特定多数が入手可能な状態となりました。
流出データは、ロシア語で記録されたチャット本文を含むCSVファイル22個と、添付ファイルとみられる画像(PNG 308個、JPG 4個)で構成されています。チャットログに含まれるメッセージ総数は3,733件で、2025年11月7日から2026年4月30日までの会話が記録されていました。
チャットに含まれる会話は、攻撃対象の選定、侵入経路の確認、内部探索と横展開、データ窃取と暗号化、バックアップへの妨害、攻撃手法の学習・共有といった内容に大別できます。
表1: 流出データの構成
|
項目 |
内容 |
|
記録期間 |
2025年11月7日〜2026年4月30日(約6か月間) |
|
チャット本文 |
CSVファイル 22個 / メッセージ総数 3,733件 / ロシア語 |
|
添付画像 |
PNG 308個、JPG 4個 |
|
主な内容 |
攻撃対象の選定、侵入経路の確認、内部探索と横展開、データ窃取と暗号化、バックアップへの妨害、攻撃手法の学習・共有など |
図2: 内部データの販売に関する投稿
表1: チャットの主な参加者
|
# |
ハンドル名 |
メッセージ数 |
|
1 |
zeta88 |
1,891 |
|
2 |
Protagor |
430 |
|
3 |
Wick |
405 |
|
4 |
qbit |
320 |
|
5 |
mAst3r |
285 |
|
6 |
quant |
217 |
|
7 |
Kunder |
182 |
|
8 |
JeLLy |
2 |
|
9 |
Bl0ck |
1 |
3. 代表的なチャットの抜粋
以下では、流出したチャットのうち、防御側にとって示唆が大きい会話を抜粋し、標的選定、侵入後の活動、防御製品への対処、バックアップ妨害、日本への影響の観点で整理します。これらの会話からは、攻撃が単に「侵入して暗号化する」ものではなく、標的の収益性や防御体制、復旧手段の有無まで見極めながら段階的に進められている実態がうかがえます。
3.1 標的はどのように選ばれているのか
攻撃者が侵入可否だけでなくZoomInfoなどの外部情報源を用いて業種や収益規模、所在国を確認し、候補を絞り込んでいる様子がわかります。重要インフラや事業継続性の高い業種を意図的に狙う発言も確認でき、無差別ではなく、身代金交渉で支払い圧力をかけやすい標的を選別していると考えられます。
図3: 重要なインフラを標的としていることがわかる会話
3.2 攻撃における障壁
ランサムウェア攻撃において暗号化が重要という発言がある一方、どの工程を重視すべきかを示す会話も残されています。暗号化は攻撃の最終段階に過ぎず、攻撃者にとっての大きなハードルは、そこに至るまでの初期アクセスと横展開にあります。防御側の視点に置き換えれば、侵入経路の遮断と権限昇格の抑止こそが防御の要となります。
図4: 暗号化よりもアクセス権の取得が重要であるという会話
3.3 内部探索による環境の把握や横展開
会話の中には、内部探索についてメンバー間で共有する場面がありました。コマンドからポートスキャンツールの一種である「gogo」が使用されていることがわかります。図中のコマンドは攻撃手順の再現性を下げるため一部をマスクしていますが、ここでは企業環境で一般的に使われるポートが指定されており、ファイル共有やデータベース、仮想化基盤など、攻撃対象となりうるサーバーや使用中のサービスを把握しようとする状況が伺えます。
また、別の会話では、あるドメインコントローラー(DC)から別のドメインコントローラーへアクセスを広げようとする横展開の手順について会話する様子も確認できます。
図5: 内部探索のためのツール使用法を共有する様子
図6: 横展開の手順について会話する様子
3.4 EDRに阻まれる場面
セキュリティ製品(EDR)への対処に苦慮する様子は複数の会話に登場します。ただし苦戦するだけでなく、停止に成功したという報告も見られ、EDRの回避や停止を試みる攻撃者の動きも確認できます。これらの発言から、攻撃者によるEDRの回避・停止を想定した上で、権限管理やログの外部保全など、他の防御層や監視体制と組み合わせた対策が改めて重要だといえます。
図7: EDRへの対処に苦慮する様子
図8: EDR停止に成功したとする報告
3.5 バックアップも重要な標的
攻撃者はデータの価値を理解した上で保管場所を調べ上げます。復旧を困難にすれば身代金の支払い圧力が高まることから、バックアップも標的であることが会話からわかります。ただ単にバックアップを保管するだけでなく、侵害された認証情報や管理権限から削除・暗号化できないよう、オフラインまたは論理的に分離された環境に保管することが重要です。
図9: バックアップを標的にしていることがわかる会話
3.6 日本も標的となっている
メンバーが標的選定の初期段階でFortiGateのIPリストを共有しており、この時点で日本が標的候補に挙がっていることがわかります。
図10: 標的候補に日本が含まれていることを示す会話
また、The Gentlemenのリークサイトに日本関連組織が掲載されていることも確認しています。リークサイトに掲載された組織を集計したところ、60を超える国・地域の組織が掲載されており、アジア圏では日本は5位に位置していました。標的の候補に挙がるだけでなく、実際に被害が発生している事実を踏まえ、自組織がいつでも標的となり得る前提で対策に取り組む必要があります。
図11: リークサイト掲載数(2025年9月〜2026年4月 / アジア圏)
4. おわりに
今回流出したチャットログには、標的選定から始まる攻撃プロセスの実態が会話として記録されていました。そこから見えてくるのは、未知の脆弱性や独自の手法に頼るのではなく、公開されたVPN装置、流出した認証情報、Active Directory、バックアップ環境といった既知の攻撃経路を組み合わせ、支払い圧力を高めようとする攻撃者の姿です。防御側としては、外部公開資産の棚卸しとパッチ適用、認証情報とMFAの管理、EDRの回避・停止を想定した多層的な検知体制、オフラインまたは分離されたバックアップの保護と復旧テストを、改めて優先的に見直していく必要があります。
参考情報
[1] GROUP―IB 「Hasta la vista, Hastalamuerte: An Overview of The Gentlemen's TTPs」
https://www.group-ib.com/blog/hastalamuerte-gentlemen-raas-ttps/
[2] SecurityLab 「Se fue sin despedirse: exsocio de los extorsionadores Qilin, ofendido con sus colegas, creó su propio ransomware.」
https://www.securitylab.lat/news/570609.php
おすすめ記事
