サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、ランサムウェアグループ「The Gentlemen」の流出した内部データに基づく調査結果を公開しました。 概要 RaaS(サービスとしてのランサムウェア)グループ「The Gentlemen」は、2026年に世界で2番目に活発なランサムウェアグループとなり、400件以上の被害事例が公表されています。 2026年5月、同グループの内部システムが侵害され、その運営体制の全容が露呈しました。 The Gentlemenは、1人の管理者(zeta88/hastalamuerte)を中心として組織され、名前が確認されている約9名のオペレーターによって運営されています。この管理者はプラットフォームを管理するだけでなく、実際の暗号化攻撃にも直接関与しています。 この管理者は、Qilinランサムウェアプログラムの元アフィリエイトであることが判明しました。このサイバー犯罪者は、既存の組織のもとでその手口を学んだ後、競合する組織を立ち上げた経歴を持ちます。 初期アクセス経路は、パッチ未適用のエッジデバイスや購入された認証情報にほぼ限定されています。 ある被害者から窃取されたデータが、その後、その被害者の顧客に対する攻撃に利用されていました。こうした連鎖的被害は、実際に確認されている攻撃手法です。 このグループは、中国のAIモデル「DeepSeek」や「Qwen」などのAIコーディングアシスタントを活用し、ランサムウェア開発を加速させています。管理者はAIによるコーディング支援を利用して、RaaSの管理パネル全体をわずか3日間で構築していました。 チェック・ポイントは、本件について法執行機関に通知しています。 2026年5月4日、RaaSグループ「The Gentlemen」の管理者は、アンダーグラウンドフォーラム上で、同グループの内部バックエンドデータベースが侵害され、情報が流出したことを認めました。これは、同グループがインフラ運用に利用していたホスティングプロバイダー「4VPS」の侵害に関連している可能性が高いとみられます。CPRは、流出データが削除される前に、その一部を入手しました。その中には、内部チャットログ、運営メンバーの一覧、身代金交渉の記録、ツール運用に関する議論などが含まれます。これらは、防御側が入手することは極めて稀な、ランサムウェア運営の内部実態を明らかにする情報です。 本リリースでは、2026年4月にCPRが公開した初期分析をもとに、CPRの調査結果を要約しています。技術的分析の詳細は、CPR調査レポートの完全版でご覧いただけます。 小規模でプロフェッショナルな運営 The Gentlemenは、1人の管理者を中心として、名前が確認されているオペレーターおよそ9名によって運営されています。管理者「zeta88」は、別名hastalamuerteとして知られる人物と同一の可能性が高く、ランサムウェアの作成、RaaSパネルの運用、支払い管理を行うだけでなく、攻撃にも直接関与しています。流出した内部チャットには、この管理者が実際の暗号化攻撃の最中に「I’m locking(ロックしている)」とメッセージを送っていた記録も含まれていました。また、この人物はAIコーディングアシスタントを活用し、わずか3日間で管理パネル全体を構築しています。 The Gentlemenは、アフィリエイトに90対10の高い収益分配率(業界標準は80対20)を提供しており、この好条件が、Qilinを含む競合プログラムから経験豊富なオペレーターを引き寄せる大きな要因となっています。なお、管理者であるzeta88自身も、過去にQilinでアフィリエイトとして活動していたことが確認されています。 侵入の手口 The Gentlemenの侵入経路は、そのほぼ全てがパッチ未適用のインターネット公開デバイスです。特にVPNやアプライアンスを標的とし、脆弱性CVE-2024-55591およびCVE-2025-32433を悪用するほか、サードパーティのブローカーからのアクセス権購入や、インフォスティーラーのログ市場から取得した認証情報を利用しています。侵入後の行動は迅速で、Active Directoryの列挙、NTLMリレー攻撃(CVE-2025-33073)、EDRの無効化、正規の管理ツールを利用したラ