MicrosoftとNCC Groupは2026年5月、新興ランサムウェア集団「The Gentlemen」の活動拡大に関する分析を公表した。同ランサムウェアの特徴と、侵入後の被害拡大を防ぐための5つの対策を紹介する。
ランサムウェア対策といえば、「バックアップを取得する」「脆弱性を修正する」といった基本対策が定番だ。しかし近年は、それだけでは防ぎ切れない攻撃が増えている。
セキュリティベンダーNCC GroupとMicrosoftがそれぞれ公開した分析によると、新興ランサムウェア集団「The Gentlemen」が急速に勢力を拡大している。同グループは2025年に出現した比較的新しい攻撃者だが、2026年4月だけで73件の攻撃に関与し、既に230以上の組織を標的にしているという。本稿は、The Gentlemenの特徴と、「情シスが今すぐ見直すべき5つの技術的対策」を紹介する。
Microsoftが2026年5月28日(米国時間)に公開したブログ記事によると、The Gentlemenはランサムウェアアズアサービス(RaaS)で運営されている。運営者が攻撃基盤を提供し、提携するアフィリエイト(攻撃実行者)が実際の侵入や攻撃を担当する仕組みだ。著名なサイバー犯罪マーケットプレイス「BreachForums」と公式に提携し、高度なスキルを持つペネトレーションテスターや初期アクセスブローカーの巻き込みを強化している。
The Gentlemenの特徴の1つは、侵入後の横展開(ラテラルムーブメント)能力の高さだ。一般的なランサムウェアは、侵害した端末から周辺システムへ感染を広げる際に限られた手法しか使わない。一方The Gentlemenは、Microsoftの遠隔操作ツール「PsExec」、「Windows」のコマンド実行ツール「PowerShell」やOS管理ツール「Windows Management Instrumentation」(WMI)などを使って最大21種類のリモート実行を試みるという。どれか1つの経路がセキュリティ製品やネットワーク設定によってブロックされても、他のどれか1経路でも突破できれば、隣の端末へ感染が拡大する仕組みだ。
情シス担当者にとって重要なのは、「侵入を防ぐこと」だけでなく、「侵入後にどこまで拡大を防げるか」という視点だ。1台の端末が侵害された時点で、短時間のうちにドメイン全体へ被害が広がる可能性がある。
The Gentlemenは暗号化を実行する前に、組織の復旧能力を奪うための妨害工作を実施する。
Microsoft Defender for Endpointの機能を無効化するほか、ボリュームシャドウコピーを削除し、イベントログやPowerShellの実行履歴なども消去する。さらに、データベースや仮想化基盤、バックアップソフトウェアなどのサービスを停止させてから暗号化を実行する。
NCC Groupは、The GentlemenのようなRaaS(Ransomware as a Service)グループの台頭によって、防御側に与えられる対応時間が大幅に短縮していると指摘する。
The Gentlemenは「SystemBC」と呼ばれるマルウェアを利用して通信を秘匿しながら活動する。攻撃者は侵害した環境の内部から横展開を進めるため、セキュリティ担当者が異変を認識した時点では既に被害が広範囲へ及んでいるケースも少なくない。
その結果、「アラート発生後に調査して対応する」という従来型の運用だけでは被害拡大を防ぎにくくなっている。
MicrosoftとNCC Groupは、The Gentlemenの攻撃に対抗するため、以下の対策を推奨している。
ランサムウェアが侵入した後の挙動をリアルタイムで遮断できるよう、EDRを検知だけでなくブロックモードで運用する。
マルウェアによるセキュリティ製品の停止を防ぐため、Microsoft Defender for Endpointの改ざん防止機能「Tamper Protection」を有効にする。
フォルダーアクセスの制御機能を利用し、重要データへの不正な書き込みや暗号化を防ぐ。
「Microsoft Intune」などのMDM(モバイルデバイス管理)ツールやグループポリシーを利用して、PsExecやWMIを利用したリモート実行を制限する攻撃面縮小(ASR)ルールを適用する。横展開の経路を事前に遮断する対策として有効だ。
多要素認証や特権管理を徹底し、侵害された認証情報による横展開を防ぐ。
The Gentlemenの事例が示しているのは、ランサムウェア対策の重点が「バックアップの保護」から「侵害後の拡大防止」へ移りつつあるということだ。
バックアップが存在していても、攻撃者が復旧機能や証跡を先に無力化すれば被害は深刻化する。情シス担当者には、侵入を前提とした防御と、被害を局所化するための設計がこれまで以上に求められている。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
