The Gentlemenランサムウェアとは何ですか？

MicrosoftがStorm-2697として追跡する金銭目的グループが運用するランサムウェアです。2025年中頃に出現し9月からRaaS（Ransomware-as-a-Service）として提携先に提供、暗号化モジュールはGo言語製で自己増殖能力を持ちます。Microsoftが2026年5月28日に解析を公表しました。

The Gentlemenはどうやって自己増殖しますか？

感染ホストに隠しSMB共有を作りPsExecを展開した後、ネットワークを列挙し、各標的に対しPsExec・WMI・スケジュールタスク・Windowsサービス・PowerShellリモーティングなど1標的あたり21通りの実行を試みます。1つでも成功すれば拡散が継続します。

The Gentlemenはどんな検知妨害を行いますか？

Microsoft Defenderのリアルタイム監視を無効化しC:ドライブ全体をスキャン除外、vssadmin/wmicでシャドウコピーを削除、wevtutilでイベントログを消去、プレフェッチやRDPログ・PowerShell履歴を削除します。さらに40以上のプロセスと30以上のサービス（DB・Veeam・EDR等）を停止します。

The Gentlemenの暗号化は復号できますか？

ファイルごとに使い捨てのCurve25519鍵ペアを生成しXChaCha20で暗号化する堅牢な設計のため、攻撃者の秘密鍵がなければ現実的な復号は不可能です。1MB以下は全体、大きいファイルは分散したチャンクを暗号化し高速に人質化します。

自己増殖型ランサムウェアの対策は何ですか？

改ざん防止（Tamper Protection）でDefender無効化を防ぎ、PSExec/WMI/PowerShellリモーティングをASRルールやセグメンテーションで制限、ローカル管理者パスワードを端末ごとに一意化（LAPS）、制御フォルダーアクセスとEDRブロックモード・自動攻撃中断を有効化、オフライン／イミュータブルバックアップの用意が有効です。

The Gentlemenランサムウェア詳解 - 自己増殖するGo製エンコーダの手口とStorm-2697の脅威

「丁寧な紳士」を名乗るランサムウェアグループThe Gentlemenが、自己増殖する強力なエンコーダ（暗号化マルウェア）でネットワークを次々と制圧している。2026年5月28日、Microsoftはこのランサムウェアを「Dissecting a self-propagating Go encryptor（自己増殖するGo製エンコーダの解剖）」として詳細に解析した。最大の特徴は、1台の侵害を起点に、人手をほとんど介さず自動でネットワーク全体へ広がる点にある。本稿では、その拡散メカニズムと検知妨害の手口、そして組織が「広がる前に止める」ために確認すべきことを解説する。

概要

マルウェア：ランサムウェア「The Gentlemen」。暗号化モジュールはGo言語で書かれている。
運用主体：MicrosoftがStorm-2697と追跡する金銭目的のグループ。2025年中頃に出現し、2025年9月からRaaS（Ransomware-as-a-Service）として提携先（アフィリエイト）に提供。BreachForumsと公式提携し、ペネトレーションテスターや初期アクセスブローカーを募っている。
手口：二重恐喝（データを暗号化しつつ窃取し、公開すると脅す）。Go製エンコーダが1標的あたり21通りの実行手段でネットワーク内を自動拡散する。
標的：教育・運輸・医療・金融など。北米・南米・欧州・アフリカ・アジアと地理的に広範。

何が起きたのか

The Gentlemenは2025年中頃に「閉じた（クローズドな）」ランサムウェアグループとして登場し、同年9月にRaaSモデルへ移行した。RaaSとは、ランサムウェア本体を開発する運営者（ここではStorm-2697）が、実際に攻撃を実行する提携先に「サービス」として貸し出すビジネス形態だ。運営者はツールとインフラを提供し、提携先が侵入・展開を担い、得た身代金を分け合う。

さらにThe Gentlemenはサイバー犯罪フォーラムBreachForumsと公式に提携し、侵入の専門家（ペネトレーションテスターや、すでに侵入済みのアクセスを売買する初期アクセスブローカー）を積極的に勧誘している。これは「分業化・産業化したランサムウェアエコシステム」の典型であり、攻撃者は自前で全工程をこなす必要がなく、各専門家が役割を分担する。結果として攻撃の母数と速度が増す。

被害は教育・運輸・医療・金融など重要分野に及び、地理的にも5大陸にまたがる。RaaS化と提携先拡大により、短期間で被害組織が積み上がっている。

技術的な解説

「21通り」で総当たりする自己増殖

The Gentlemenが厄介なのは、感染した1台から自動的に他のホストへ伝播する自己増殖能力だ。Microsoftの解析によれば、エンコーダは次のような段階で拡散する。

感染ホスト上に自身を配置し、隠しSMB共有を作成して、拡散用の配布ツールとしてPsExecを展開する
ネットワークを列挙し、ワークステーション・サーバー・ドメインコントローラーを発見して伝播先を特定する
各標的に対し、21通りのリモート実行を試みる

この「21通り」は、以下のような複数の実行手法を組み合わせたものだ。

PsExecによる実行
WMIC（WMI）でのプロセス生成
スケジュールタスク（ユーザー／システム両方の権限）
Windowsサービスとしての登録
PowerShellリモーティング
PowerShell経由のWMI実行

それぞれが、感染ホストのSMB共有上のペイロードと、標的のローカルディレクトリの両方を狙う。Microsoftが指摘するとおり、「1台に対して1つの手法が成功すれば、そこから拡散が継続する」。つまり、防御側が大半の経路を塞いでいても、どこか1つの穴が空いていれば突破されてしまう。これらの実行手法はいずれもWindows標準の正規機能（LOLBins）であり、マルウェア固有のシグネチャに頼る検知をすり抜けやすい。

オペレーターが拡散範囲を制御する

The Gentlemenはコマンドライン引数で挙動を細かく制御できる。暗号化対象を--system（ローカルドライブ）、--shares（ネットワーク共有）、--full（両方）で指定し、横展開に使う認証情報（明示的な資格情報、または現在のセッショントークンの再利用）も指定できる。攻撃者は標的環境に合わせて「どこまで暗号化するか」「どの権限で広がるか」を調整する。

検知妨害と復旧手段の破壊

The Gentlemenは暗号化の前に、徹底的に防御と復旧手段を潰す。

セキュリティ製品の無効化：PowerShellでMicrosoft Defenderのリアルタイム監視を無効化し、マルウェアを除外リストに追加。さらにC:ドライブ全体をスキャン対象から除外する。
復旧手段の破壊：vssadminとwmicでボリュームシャドウコピーを削除し、wevtutilでシステム・アプリケーション・セキュリティのイベントログを消去する。
フォレンジック痕跡の消去：プレフェッチファイル、Defender診断ログ、RDPログを削除し、全ユーザープロファイルのPowerShellコマンド履歴を手動で削除する。
プロセス・サービスの停止：データベース（SQL Server / MySQL / PostgreSQL）、バックアップソフト（Veeam）、EDRツール、Officeアプリなど40以上のプロセスと30以上のサービスを停止し、ファイルのロックを解いて暗号化できる状態にする。
永続化：UpdateSystem・UpdateUserというスケジュールタスクと、GupdateS・GupdateUというレジストリRunキーを作成する。

暗号化の仕組み

暗号化は堅牢に設計されている。ファイルごとに使い捨て（エフェメラル）のCurve25519鍵ペアを生成し、ECDHで導出した共有鍵でXChaCha20ストリーム暗号により暗号化する。ノンス（使い捨ての数値）はエフェメラル公開鍵の先頭24バイトから導出される。1MB以下のファイルは全体を暗号化し、それより大きいファイルは分散したオフセットで3つのチャンクを暗号化する。速度フラグで暗号化強度を調整でき、デフォルトでは大きいファイルの約27%、--ultrafastでは約0.9%だけを暗号化して高速に人質化する。攻撃者の秘密鍵がなければ復号は現実的に不可能だ。

日本企業への影響

The Gentlemenの標的には医療・金融・教育・運輸が含まれ、これは日本の重要インフラ・サービス業の構成と重なる。特に注意すべきは次の点だ。

自己増殖は「初動の遅れ」を致命傷にする：1台の感染を検知して対処する前に、自動で全社に広がってしまう。従来の「感染端末を1台ずつ隔離」では追いつかない速度で被害が拡大する。
ドメインコントローラーが狙われる：DCを押さえられると、Active Directory経由で組織全体に展開される。特権アカウントの保護が崩れると一気に全滅する。
バックアップごと破壊される：シャドウコピー削除とVeeam停止により、オンラインバックアップは無力化される。「バックアップを取っているから大丈夫」が通用しない。
RaaSの提携先拡大で標的が無差別化：BreachForums提携で攻撃者の母数が増えるほど、知名度の低い中小企業も「たまたま侵入できたから」という理由で被害に遭う。

今すぐ確認すべきポイント

1. 改ざん防止（Tamper Protection）を有効化する

The GentlemenはまずDefenderを無効化しようとする。改ざん防止を有効にしておけば、マルウェアがセキュリティサービスを停止したり除外リストを書き換えたりする操作に抵抗できる。「C:全体を除外」のような不審な除外設定が追加されていないかも確認する。

2. 横展開の経路を塞ぐ

自己増殖は横展開の経路に依存する。次を点検する。

PsExec・WMI・PowerShellリモーティングによる端末間のリモート実行を、EDRのASRルール（PSExec/WMIからのプロセス生成をブロック）で制限する
管理共有（C$・ADMIN$）やSMBによる端末間アクセスを最小化する（ネットワークセグメンテーション、ホストファイアウォール）
ローカル管理者パスワードを端末ごとに一意にする（LAPS等）。同一資格情報の使い回しは横展開を容易にする

3. 制御フォルダーアクセスとEDRブロックモードを有効化する

Microsoft推奨の防御として、制御フォルダーアクセス（重要フォルダへの不正な変更を制限）、EDRのブロックモード、Microsoft Defender XDRの自動攻撃中断、クラウド配信の保護を有効化する。自動攻撃中断は、自己増殖型の攻撃に対し「広がる前に隔離する」効果が期待できる。

4. オフライン／イミュータブルなバックアップを用意する

シャドウコピーとオンラインバックアップは破壊される前提で、ネットワークから隔離されたオフラインバックアップ、または書き換え不可能なイミュータブルストレージを用意する。そして実際に復旧できるかを定期的にテストする。

5. 早期の前兆を検知する

暗号化本番の前には、必ず「準備行動」がある。これらを検知できれば被害を最小化できる。

# ランサムウェアの典型的な前兆。EDR/SIEMでアラート化する
vssadmin delete shadows /all /quiet      # シャドウコピー削除
wevtutil cl Security                      # イベントログ消去
Set-MpPreference -DisableRealtimeMonitoring $true   # Defender無効化
Add-MpPreference -ExclusionPath C:\       # スキャン除外の追加

# 不審なスケジュールタスク/レジストリRunキーも監視
#  タスク名: UpdateSystem / UpdateUser
#  Runキー : GupdateS / GupdateU

これらの兆候や暗号化を検知した場合は、ただちにインシデント対応手順に沿ってネットワーク隔離・封じ込めを行い、自己増殖の連鎖を断つ。

参考情報

Microsoft Security Blog: The Gentlemen ransomware — Dissecting a self-propagating Go encryptor（2026年5月28日）
Microsoft Threat Intelligence: Storm-2697 / The Gentlemen RaaS に関する分析
CYFIRMA: Weekly Intelligence Report（The Gentlemen の被害動向）