ランサムウェアグループ The Gentlemen、ボット型サイバー攻撃を展開|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年04月24日更新日時: 2026年04月24日

The Gentlemenについて、Check Point Researchは2026年4月20日、関連するインシデント対応の過程でSystemBCを使った攻撃を確認したと公表しました。レポートでは、The Gentlemenのアフィリエイトが侵害端末にSystemBCを投入し、関連するSystemBCのC2サーバー上で1,570超の被害ホストを観測したと説明しています。Check Pointは、感染プロファイルから見て、これらの多くが企業や組織の環境である可能性が高いと評価しています。

1 ランサムウェアグループ The Gentlemenとは
2 何が起きたか
3 1,570超の被害ホストが示す意味
4 侵入と横展開の流れ
5 なぜ急拡大しているのか
6 情報システム部門が押さえるべき点

ランサムウェアグループ The Gentlemenとは

米セキュリティ企業GuidePoint Securityは、The GentlemenをRansomware-as-a-Service、RaaS型の新興グループと位置付けています。同社の2026年Q1レポートでは、The Gentlemenは2025年後半に出現し、Q4 2025の35件からQ1 2026には182件へと被害主張数を急増させ、同四半期で2番目に活発なグループになったとしています。GuidePointは、この急成長は経験のあるアフィリエイトや運営者が背後にいる可能性を示すものだと分析しています。

Check Point側の見立ても、おおむねこれと一致しています。同社はThe Gentlemenを2025年半ばに出現した比較的新しいRaaSだとしつつ、すでにリークサイト上で320件超の被害を主張し、そのうち240件が2026年に集中していると説明しています。つまり、The Gentlemenは単なる一発屋ではなく、短期間で上位グループに食い込んだ新興勢力として見るのが妥当です。

加えてCheck Pointは、The GentlemenがWindows、Linux、NAS、BSD向けにGo製ロッカーを持ち、ESXi向けにはC製ロッカーも用意していると説明しています。企業環境で混在しやすい複数OSに対応している点からも、同グループは小規模な単発犯ではなく、企業インフラ全体を止めることを前提に設計されたランサムウェア運用だと分かります。

何が起きたか

今回の一次ソースは、Check Point Researchの DFIR Report – The Gentlemen & SystemBC: A Sneak Peek Behind the Proxy です。ここでは、The GentlemenのアフィリエイトがSystemBCを使っていたことが、実際のインシデント対応の中で確認されたとされています。SystemBCはSOCKS5トンネルを張るプロキシ型マルウェアで、RC4ベースの独自通信を使ってC2と接続し、追加マルウェアの投入や遠隔操作の踏み台として使われます。レポートでは、侵害ホスト上に置かれた socks.exe がSystemBCの亜種と判断され、45.86.230[.]112 への通信を試みていたと記載されています。

ただしCheck Pointは、観測したSystemBCがThe Gentlemenの運営基盤に直接組み込まれているのか、それとも今回のアフィリエイトが個別に使っていたツールなのかは現時点で断定できないとも述べています。つまり、The Gentlemen全体がSystemBCを標準採用しているとまでは言えず、少なくとも一部アフィリエイトの実運用で確認された、という整理が正確です。

1,570超の被害ホストが示す意味

Check Pointは、問題のC2サーバー上で1,570超の被害ホストを確認したとしています。地域別では米国が最も多く、次いで英国、ドイツが続くとされます。レポートは、SystemBCが通常、手動侵入型のランサムウェア運用で使われることから、このボットネットは一般消費者向けの無差別感染というより、企業や組織を中心にした感染基盤とみるのが自然だと説明しています。

重要なのは、この1,570超という数字が、そのままThe Gentlemenのリークサイト掲載件数ではない点です。Check Point自身も、これはThe Gentlemen関連アフィリエイトが使っていたとみられるSystemBCのC2側で観測した数であり、同グループが公表している320超の被害件数より実態のほうが大きい可能性を示す材料だと位置付けています。逆に言えば、全件をThe Gentlemenの最終的なランサム被害と断定するのは早計です。

侵入と横展開の流れ

DFIRレポートでは、初期侵入ベクトルは確定できていないものの、攻撃者は少なくともドメインコントローラー上でDomain Admin権限を持つ状態に到達していたとされています。その後、ネットワークログオンの成否を見ながら資格情報の検証と到達可能ホストの確認を進め、管理共有 ADMIN$ へ実行ファイルを書き込み、RPC経由でCobalt Strikeペイロードを遠隔展開していたと説明しています。

最終段階では、The Gentlemenのランサムウェア本体がGroup Policy Object、GPOを使って配布され、ドメイン参加システムに対してほぼ同時に暗号化が走ったと記載されています。つまり、侵入後は資格情報の掌握、Cobalt Strike、SystemBC、そしてGPO配布という流れで、企業ネットワークの内部制御を奪って一気に暗号化へ進む、典型的な人手主導型ランサムウェアの挙動が確認された形です。

なぜ急拡大しているのか

The Gentlemenの急拡大について、GuidePointは経験豊富な運営者やアフィリエイトの関与を示唆しています。新興グループでありながらQ1 2026に被害主張数を急増させた背景には、すでに別のRaaSや侵入活動で経験を積んだ実行役が参加している可能性が高いという見方です。

一方でCheck Pointは、The Gentlemenの攻撃が目新しいゼロデイ一辺倒ではなく、既存ツールや既存の侵入後活動を組み合わせて成立している点を重視しています。これは、防御側から見ると、派手な新技術よりも、境界機器、特権管理、横展開監視といった基本対策の甘さがそのまま攻撃成功率に直結することを意味します。

情報システム部門が押さえるべき点

今回のレポートが示しているのは、The Gentlemenが単独のランサムウェア本体だけでなく、Cobalt StrikeやSystemBCのような既存ツールを組み合わせて企業侵入を高度化しているという点です。しかも、Check Pointの観測では、SystemBC側だけでも1,570超の企業系感染が疑われており、リークサイトに出てくる被害件数だけでは実態を捉え切れない可能性があります。

実務上は、VPN、ファイアウォール、リモートアクセス基盤の優先パッチ適用、管理者権限の分離、ドメインコントローラー上の異常な認証試行監視、管理共有 ADMIN$ やRPC経由の不審実行、GPOの不自然な変更監視が重要です。The Gentlemenは新興グループですが、攻撃の中身はむしろ既存のランサムウェア実務を洗練して高速に回している印象が強く、境界防御と特権管理の基本を外すと食い込まれやすいタイプだと見ておくべきです。

出典

Q1-2026_Ransomware_and-Cyber_Threat_Insights.pdf