「Gentlemen」ランサムウェアが企業ネットワークへの脅威として台頭

「Gentlemen」として知られる高度な新種のランサムウェアグループが、データ窃取と高度な暗号化プロトコルを組み合わせた冷酷な二重恐喝モデルを用いることで、世界のエンタープライズセキュリティに対する重大な脅威として浮上している。

このグループは2025年8月に初めて確認されて以来、急速に活動を拡大し、北米、南米、中東、アジア太平洋（APAC）地域を含む17か国の組織に影響を及ぼしている。

攻撃者は主に、製造、建設、医療、保険といった重要分野の中規模から大規模の企業を標的としている。

Gentlemen は、無差別なキャンペーンではなく、極めて標的を絞った攻撃を行う点で他と一線を画している。

セキュリティ研究者は、その急速な拡大と洗練された内部横展開手法により、2025年末における最も活発な新興脅威の一つとして分類している。

このグループは、グループポリシーオブジェクト（GPO）の改ざんや、脆弱なドライバを持ち込む BYOVD（Bring Your Own Vulnerable Driver）手法によるセキュリティソリューションの無効化など、高度な持続的脅威（APT）に特徴的な戦術を用いている。

ネットワーク内部への侵入後、ランサムウェアは防御機能を麻痺させることを目的とした精密な初期ルーチンを実行する。

これには、Windows Defender の無効化、Veeam などのバックアップサービスの停止、MSSQL や MongoDB といったデータベースプロセスの停止が含まれ、暗号化フェーズ中にファイルがロックされないようにしている。

マルウェアはまた、事後のフォレンジック調査を妨害するために、システムログや痕跡を削除する。現時点では一枚岩の組織として活動しているように見えるが、Gentlemen がRansomware-as-a-Service（RaaS）モデルを採用しているのか、あるいは解体された犯罪シンジケートのリブランディングなのかは明らかになっていない。

技術的洗練度

Go 言語で開発された Gentlemen ランサムウェアは、高度な解析妨害（アンチアナリシス）挙動を示す。この亜種を特徴づけるのは、実行時に特定のパスワード引数を要求する点である。

正しいパスワードがコマンドラインから与えられない場合、マルウェアは即座に終了する。このフェイルセーフにより、セキュリティ研究者や自動サンドボックスが制御されていない環境でペイロードを解析することを防いでいる。

ランサムウェアは複数のコマンドライン引数を通じて影響範囲をきめ細かく制御でき、オペレータは暗号化速度、対象ディレクトリ、ネットワークへの伝播方法などを指定できる。

引数説明

高度な暗号化メカニズム

Gentlemen の暗号基盤は堅牢であり、X25519 と XChaCha20 アルゴリズムの組み合わせを利用している。

暗号化後、マルウェアは README-GENTLEMEN.txt という名称の身代金メモを生成し、被害者が交渉に応じない場合には、窃取したデータをデータリークサイト（DLS）で公開すると脅迫する。

マルウェアはメモリ上で埋め込まれた公開鍵をデコードし、乱数と X25519 演算を用いて共有秘密情報（shared secret）を生成する。

Gentlemen ランサムウェアは、ファイルサイズに応じて暗号化対象を変更する。ファイルサイズが 0x100000 バイト（約 1 MB）未満の場合、そのファイル全体が暗号化される。

この共有秘密情報から XChaCha20 ストリーム暗号で使用される鍵が導出され、実際のファイル暗号化が行われる。

特筆すべき点として、マルウェアは暗号化する各ファイルごとに新しい鍵とノンスを生成し、攻撃者の秘密鍵なしに復号することを極めて困難にしている。

大規模データセットでのパフォーマンスを最適化するため、Gentlemen は断続的暗号化（インターミッテント暗号化）戦略を採用している。1 MB 未満のファイルは全体が暗号化される一方、より大きなファイルについては特定セグメントのみが選択的に暗号化される。

セキュリティチームは、このランサムウェア特有の実行パラメータや不審な GPO 活動を監視し、早期検知に努めることが推奨される。