チェック・ポイント・リサーチ(CPR)は2026年5月15日、ランサムウェア集団「The Gentlemen」の内部データ流出を分析し、RaaS(サービスとして提供されるランサムウェア)運営の実態を公表しました。同グループは2026年に世界で2番目に活発とされ、被害事例は400件以上が公表されています。運営は管理者1人を中心に、名前が確認できる約9人のオペレーターで回っていたといいます。
流出データには内部チャットログやメンバー一覧、交渉記録、ツール運用の議論が含まれ、侵入から拡散までの「攻撃連鎖」が具体化しました。侵入経路は未パッチのエッジデバイスや購入済み認証情報などで、侵入後はAD(社内認証基盤)列挙、NTLMリレー、EDR無効化、横展開、データ持ち出し、GPO経由で全社展開といった手順が確認されたとしています。
収益面では、アフィリエイト(実行役)に90対10の高い分配率を提示し、業界標準の80対20より有利な条件で参加者を集めていました。さらに、中国のAIモデル「DeepSeek」「Qwen」などのAIコーディング支援を使い、RaaSの管理パネル全体をわずか3日で構築したとされ、開発の高速化が攻撃の回転数を押し上げる構図も浮かびました。管理者は2026年5月4日、内部バックエンドDBの侵害・流出をフォーラム上で認めています。
CPRは調査結果を法執行機関と共有済みで、捜査が進む可能性があります。防御側には、エッジ機器の迅速なパッチ適用、認証監視とMFA前提の運用、AD保護、横展開段階での検知強化、隔離バックアップの点検を優先するよう提言しており、取引先経由の被害連鎖も含めた対策が焦点になりそうです。
【関連リンク】
詳細URL: https://blog.checkpoint.com/research/when-the-ransomware-gang-gets-hacked-what-the-gentlemen-leak-reveals-about-modern-ransomware-risk
公式HP: https://www.checkpoint.com/jp
ブログ: https://research.checkpoint.com