概要と拡大する脅威
「Gentlemen」と呼ばれる新たな洗練されたランサムウェアグループが、データ窃盗と高度な暗号化プロトコルを組み合わせた二重恐喝モデルを採用し、世界の企業セキュリティに深刻な脅威をもたらしています。2025年8月に初めて確認されて以来、このグループは急速に活動を拡大し、北米、南米、中東、アジア太平洋地域(APAC)の17カ国の組織に影響を与えています。攻撃者は主に、製造業、建設業、ヘルスケア、保険などの重要な分野の中規模から大規模な企業を標的としています。
標的型攻撃と高度な戦術
Gentlemenは無差別なキャンペーンではなく、高度に標的を絞った攻撃によって自らを区別しています。セキュリティ研究者は、その急速な拡大と洗練された内部伝播手順により、2025年後半において最も活発な新興脅威の一つと位置付けています。このグループは、APT(Advanced Persistent Threats:高度な持続的脅威)に特徴的な戦術を採用しており、グループポリシーオブジェクト(GPO)操作やBYOVD(Bring Your Own Vulnerable Driver)技術を用いてセキュリティソリューションを無効化します。
ネットワーク内に侵入すると、ランサムウェアは防御策を無力化するように設計された精密な初期ルーチンを実行します。これには、Windows Defenderの無効化、Veeamなどのバックアップサービスの終了、MSSQLやMongoDBなどのデータベースプロセスの停止が含まれ、暗号化フェーズ中にファイルがロックされないようにします。また、マルウェアはインシデント後のフォレンジックを妨害するためにシステムログや痕跡を削除します。現在、まとまったユニットとして活動しているものの、GentlemenがRaaS(Ransomware-as-a-Service)モデルを利用しているのか、あるいは活動停止した犯罪組織の再ブランドなのかは不明です。
技術的な洗練と実行制御
Go言語で開発されたGentlemenランサムウェアは、高度な分析妨害機能を示します。この系統の決定的な特徴は、実行時に特定のパスワード引数を要求することです。コマンドラインを通じて正しいパスワードが提供されない場合、マルウェアは直ちに終了します。このフェイルセーフ機能により、セキュリティ研究者や自動サンドボックスによる、制御されていない環境でのペイロード分析を防ぐことができます。ランサムウェアは、以下の様々なコマンドライン引数を通じて、暗号化速度、ターゲットディレクトリ、ネットワーク伝播方法などをきめ細かく制御することを攻撃者に可能にしています。
- –password PASS: ランサムウェア実行に必須のパスワード。不正確な場合は終了します。
- –path DIRS: 暗号化の標的となる特定のディレクトリとディスクを指定します。
- –T MIN: 暗号化プロセス開始までの遅延タイマーを設定します。
- –silent: 暗号化後にファイル名が変更されるのを防ぎます。
- –system: 暗号化をローカルドライブのみに限定します。
- –shares: マップされたネットワークドライブと利用可能なUNC共有のみを標的とします。
- –full: ローカルドライブとネットワーク共有の両方を標的とします。
- –fast: ファイル内容の9%を暗号化し、迅速な影響を与えます。
- –superfast: ファイル内容の3%を暗号化します。
- –ultrafast: ファイル内容の1%のみを暗号化します。
高度な暗号化メカニズムと対策
Gentlemenの暗号化アーキテクチャは堅牢であり、X25519とXChaCha20アルゴリズムの組み合わせを利用しています。暗号化後、マルウェアは「README-GENTLEMEN.txt」という身代金要求ノートを残し、被害者が交渉に応じない場合、盗んだデータをデータ漏洩サイト(DLS)で公開すると脅迫します。マルウェアはメモリ内で埋め込まれた公開鍵をデコードし、乱数とX25519操作を用いて共有シークレットを生成します。この共有シークレットからXChaCha20ストリーム暗号の鍵が導出され、実際のファイル暗号化が実行されます。脅威アクターの秘密鍵なしでの復号化の難しさを最大限にするため、マルウェアはファイルごとに新しい鍵とnonceを生成します。
大規模なデータセットでのパフォーマンスを最適化するため、Gentlemenは断続的な暗号化戦略を採用しています。1MB未満のファイルは完全に暗号化されますが、大規模なファイルは特定のセグメントが選択的に暗号化されます。セキュリティチームは、この脅威を早期に検出するために、特定の実行パラメータと異常なGPO活動を監視することが推奨されます。