チェック・ポイント・リサーチ、ランサムウェア集団「The Gentlemen」の流出した内部データ分析結果を公開 RaaS運営の実態が明らかに
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2026年05月15日
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
プロフェッショナル化する現代型RaaSの運営体制、侵入手法、アフィリエイト構造、および企業間の攻撃連鎖の実態が浮き彫りに
サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、ランサムウェアグループ「The Gentlemen」の流出した内部データに基づく調査結果を公開しました。
概要
- RaaS(サービスとしてのランサムウェア)グループ「The Gentlemen」は、2026年に世界で2番目に活発なランサムウェアグループとなり、400件以上の被害事例が公表されています。
- 2026年5月、同グループの内部システムが侵害され、その運営体制の全容が露呈しました。
- The Gentlemenは、1人の管理者(zeta88/hastalamuerte)を中心として組織され、名前が確認されている約9名のオペレーターによって運営されています。この管理者はプラットフォームを管理するだけでなく、実際の暗号化攻撃にも直接関与しています。
- この管理者は、Qilinランサムウェアプログラムの元アフィリエイトであることが判明しました。このサイバー犯罪者は、既存の組織のもとでその手口を学んだ後、競合する組織を立ち上げた経歴を持ちます。
- 初期アクセス経路は、パッチ未適用のエッジデバイスや購入された認証情報にほぼ限定されています。
- ある被害者から窃取されたデータが、その後、その被害者の顧客に対する攻撃に利用されていました。こうした連鎖的被害は、実際に確認されている攻撃手法です。
- このグループは、中国のAIモデル「DeepSeek」や「Qwen」などのAIコーディングアシスタントを活用し、ランサムウェア開発を加速させています。管理者はAIによるコーディング支援を利用して、RaaSの管理パネル全体をわずか3日間で構築していました。
- チェック・ポイントは、本件について法執行機関に通知しています。
2026年5月4日、RaaSグループ「The Gentlemen」の管理者は、アンダーグラウンドフォーラム上で、同グループの内部バックエンドデータベースが侵害され、情報が流出したことを認めました。これは、同グループがインフラ運用に利用していたホスティングプロバイダー「4VPS」の侵害に関連している可能性が高いとみられます。CPRは、流出データが削除される前に、その一部を入手しました。その中には、内部チャットログ、運営メンバーの一覧、身代金交渉の記録、ツール運用に関する議論などが含まれます。これらは、防御側が入手することは極めて稀な、ランサムウェア運営の内部実態を明らかにする情報です。
本リリースでは、2026年4月にCPRが公開した初期分析をもとに、CPRの調査結果を要約しています。技術的分析の詳細は、CPR調査レポートの完全版でご覧いただけます。
小規模でプロフェッショナルな運営
The Gentlemenは、1人の管理者を中心として、名前が確認されているオペレーターおよそ9名によって運営されています。管理者「zeta88」は、別名hastalamuerteとして知られる人物と同一の可能性が高く、ランサムウェアの作成、RaaSパネルの運用、支払い管理を行うだけでなく、攻撃にも直接関与しています。流出した内部チャットには、この管理者が実際の暗号化攻撃の最中に「I’m locking(ロックしている)」とメッセージを送っていた記録も含まれていました。また、この人物はAIコーディングアシスタントを活用し、わずか3日間で管理パネル全体を構築しています。
The Gentlemenは、アフィリエイトに90対10の高い収益分配率(業界標準は80対20)を提供しており、この好条件が、Qilinを含む競合プログラムから経験豊富なオペレーターを引き寄せる大きな要因となっています。なお、管理者であるzeta88自身も、過去にQilinでアフィリエイトとして活動していたことが確認されています。
侵入の手口
The Gentlemenの侵入経路は、そのほぼ全てがパッチ未適用のインターネット公開デバイスです。特にVPNやアプライアンスを標的とし、脆弱性CVE-2024-55591およびCVE-2025-32433を悪用するほか、サードパーティのブローカーからのアクセス権購入や、インフォスティーラーのログ市場から取得した認証情報を利用しています。侵入後の行動は迅速で、Active Directoryの列挙、NTLMリレー攻撃(CVE-2025-33073)、EDRの無効化、正規の管理ツールを利用したラテラルムーブメント、Microsoft 365やOktaへのアクセス権取得を目的としたブラウザセッション情報の窃取、データの持ち出しなどを実行します。これらすべてを実行した後、グループポリシーを介してドメイン全体にランサムウェアを展開し、接続されているすべてのエンドポイントを同時に攻撃します。
一つの侵害が次の侵害をもたらす
事業経営者にとって最も重要な所見は、おそらく以下の点です。2026年4月、The Gentlemenは英国のソフトウェアコンサルティング企業を侵害し、その攻撃で窃取したデータ、インフラ構成ドキュメント、認証情報、顧客環境へのアクセス情報などを利用して、同社の顧客であるトルコ企業を攻撃しました。この英国企業は、公式には「アクセスされたのは通常の業務データのみ」と発表していました。しかし、今回流出した内部チャットは、発表とは異なる実態を物語っています。
その後、The Gentlemenはこの2社をデータリークサイトに掲載し、英国コンサルティング企業をトルコ企業への攻撃における「アクセス仲介者」として名指ししました。これは、トルコ企業に対し、パートナーである英国企業を相手取って法的措置を取るよう促すことを目的とした圧力戦術です。
これは、自社への侵害が、顧客への侵入経路にもなり得ることを浮き彫りにしています。顧客に代わって保有するデータも、自社の最重要資産と同レベルで保護する必要があります。
セキュリティリーダーが取るべき行動
The Gentlemenの攻撃チェーンは、攻撃実行こそ高度ですが、侵入経路自体は比較的単純です。そのため、防御における優先順位も明快です。
- エッジデバイスへのパッチ適用を経営上の優先事項にする:VPN、ファイアウォール、リモートアクセスゲートウェイは、いわば組織の玄関口です。CVE-2024-55591およびCVE-2025-32433は、The Gentlemenによって現在も悪用されています。
- 認証情報はすでに侵害されている前提で対策する:多要素認証(MFA)は必要ですが、それだけでは不十分です。Microsoft 365、VPNパネル、ID管理システム全体における異常な認証パターンを監視する必要があります。
- Active Directoryを保護する:NTLMリレー攻撃やAD証明書サービスの設定不備の悪用は、The Gentlemenの攻撃手法の中心です。このため、定期的なADセキュリティ評価が不可欠です。
- ラテラルムーブメントの段階で検知する:ランサムウェアが発動した時点で、被害の封じ込めはほぼ不可能になります。実際の検知の鍵は、攻撃者がシステム環境内を移動している段階の行動分析にあります。
- バックアップが確実に隔離されていることを確認する:The Gentlemenは、特にNASデバイスやバックアップシステムを標的としています。ドメインから分離された、オフラインかつ改ざん不能のバックアップこそが、復旧できるか、攻撃者に屈するかを分ける重要な要素になります。
今回の調査結果が示すもの
The Gentlemenは、現在のプロフェッショナルなランサムウェアの実態を象徴しています。小規模ながら組織化されたメンバーが、厳選されたツール群と、熟練のオペレーターを引き付けるよう設計されたビジネスモデルを用いて、再利用可能な攻撃手法を展開しています。彼らは新たなテクニックを生み出したわけではありません。既存の攻撃手法をスケーラブルな運営体制へと組み込み、アフィリエイトプログラムを競争力のある条件で提供することで、勢力を拡大したのです。
今回、彼ら自身のインフラが侵害されたことで、その運営実態を防御側が極めて鮮明に把握できる異例の機会となりました。CPRは、この調査結果を法執行機関と共有しており、現在捜査が行われています。
侵害指標(IOC)、YARA検出ルール、アフィリエイトのTOX ID一覧などの詳細については、CPR調査レポートの完全版をご覧ください。チェック・ポイントのお客様は、Threat EmulationおよびHarmony Endpointによって、The Gentlemenランサムウェアの脅威から保護されています。
本プレスリリースは、米国時間2026年5月13日に発表されたブログ(英語)をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(www.checkpoint.com)は、世界各国の10万を超える組織を保護するグローバルなサイバーセキュリティのリーダー企業です。チェック・ポイントは、企業の安全なAIトランスフォーメーションの保護をミッションとして掲げています。防止優先のアプローチとオープンエコシステムアーキテクチャを基盤に、組織がリスクを低減し、業務を簡素化して、自信を持ってイノベーションを推進できるよう支援します。チェック・ポイントの統合セキュリティアーキテクチャは、進化する脅威や拡大するAI攻撃対象領域に継続的に適応し、ハイブリッドネットワーク、クラウド環境、デジタルワークスペース、AIシステムを保護します。4つの戦略的柱であるハイブリッドメッシュネットワークセキュリティ、ワークスペースセキュリティ、エクスポージャー管理、AIセキュリティを軸に、チェック・ポイントは複雑なマルチベンダー環境全体にわたり、一貫した保護と可視性を提供します。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの製品およびソリューションに関する見通し、将来的な成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2026年3月31日にアメリカ合衆国証券取引委員会に提出した年次報告書(フォーム20-F)を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp
本記事はアフィリエイトプログラムによる収益を得ている場合があります
