2026年5月、当サイトに届いたダークウェブのスクリーンショットにより、新興ランサムウェアグループ「The Gentlemen(ザ・ジェントルメン)」のデータリークサイト(DLS)に日本企業5社が掲載されていることが確認されました。
掲載されているのは
- 株式会社イースト
- 株式会社マルタケ
- オリエンタルダイヤモンド
- オーミケンシ
- メディカ出版
- 興亜硝子
の5社で、それぞれデータ公開までのカウントダウンタイマーが表示されています。
また、2026年5月13日には、Check Point Researchが「Thus Spoke…The Gentlemen」と題した詳細レポートを公開しました。
同レポートは2026年5月4日に漏洩が確認されたThe Gentlemenの内部バックエンドデータベース「Rocket」の分析から、管理者アカウント「zeta88」(別名:hastalamuerte)の特定、8つのアフィリエイトTOX ID、身代金交渉記録(初期要求25万ドル→実際の支払い19万ドル)、そして英国→トルコへのデータ再利用という二重圧力戦術の実態まで、グループの内部構造を詳細に明らかにしています。
この記事のサマリー
- 2026年5月4日:The GentlemenのRaaS管理者が、内部バックエンドデータベース「Rocket」の漏洩をアンダーグラウンドフォーラム上で認めた。9つのアカウントが露出し、管理者アカウントzeta88(別名:hastalamuerte)が特定された。
- 管理者zeta88の役割:インフラ構築・ロッカービルド・RaaSパネル管理・支払い管理を統括するオペレーター。Check Point Researchは同人物が一部の感染を直接実行している可能性も指摘。
- 8つのユニークTOX ID:412件の公開被害者から29件のキャンペーンを特定し、8つのアフィリエイトTOX IDを特定。管理者TOX IDは
F8E24C7F5B12CD69C44C73F438F65E9BF560ADF35EBBDF92CF9A9B84079F8F04060FF98D098E。 - 身代金交渉記録:漏洩したスクリーンショットで初期要求25万ドル→実際の支払い19万ドルの成功事例が確認された。
- 二重圧力戦術:英国のソフトウェアコンサルタント会社から窃取したデータをトルコ企業への攻撃に再利用。英国企業を「アクセスブローカー」として印象づけ、被害者に英国企業への法的訴追を示唆する高度な交渉戦術を確認。
- 被害規模:DLS掲載412件(Check Point、2026年5月)、2026年最初の5か月で332件の公開被害者。C2侵害で判明した実被害は1,570件超。
- 日本企業4社:株式会社イースト(DLS掲載)、株式会社マルタケ(DLS掲載)、オリエンタルダイヤモンド株式会社(DLS掲載)、株式会社オーミケンシ(VPN経由侵入・犯行声明確認済み)。
目次
The Gentlemen—グループ概要
設立の経緯——Qilinとの決裂から独立へ
Group-IBが2026年3月に公開したレポート「Hasta la vista, Hastalamuerte」によれば、The GentlemenはランサムウェアグループQilinの元アフィリエイト「hastalamuerte」が独立して設立したと分析されています。
2025年7月22日、hastalamuerte氏はアンダーグラウンドフォーラム「RAMP」でQilin運営者に対して4万8,000ドルの未払いアフィリエイト報酬をめぐる公開仲裁スレッドを開設しました。
しかしその5日前(7月17日)には既にThe GentlemenのDLS URLを含むWindowsサンプルがVirusTotalにアップロードされており、Qilinとの決裂を見越しながら独自のランサムウェアオペレーションを並行して開発していたことが判明しています。
Check Point Researchの最新分析では、hastalaMuerteと管理者アカウント「zeta88」が同一人物であることが確認されています。2025年9月、zeta88はアンダーグラウンドフォーラムでRaaSプログラムを宣伝し、アフィリエイト(侵入テスターを含む技術的スキルを持つ個人)の参加を呼びかける最初の投稿を行いました。
ビジネスモデル-90%分配という業界最高条件
The GentlemenのRaaSプログラムは以下の条件でアフィリエイトを募集しています。身代金収益の90%がアフィリエイトに分配されます
(業界標準は70〜80%)。被害者との交渉はアフィリエイトが全面的にコントロールします。運営者側がリークサイト等のインフラを中央集権的に管理し、通信はTOX(暗号化P2Pメッセンジャー)経由で行われます。インフラは意図的に最小化し、作戦上の露出を低減しています。
この破格の90%分配が、経験豊富なアフィリエイトをQilin・Medusa・LockBitといった既存グループから引き抜く強力な誘因となり、急速な拡大を可能にしました。
被害規模の推移
| 時期 | 状況 |
|---|---|
| 2025年9〜10月(DLS公開後最初の2か月) | 48件のDLS掲載(Cybereason) |
| 2025年Q4→2026年Q1 | 35件→182件へ急増(GuidePoint Security) |
| 2026年1月 | 284件(ransomware.live)、トップ10グループにランクイン |
| 2026年4月 | 340件超(DLS掲載)、世界17か国以上。活動量世界第2位 |
| 2026年5月(Check Point最新) | 412件(DLS掲載)、2026年初5か月で332件の公開被害者 |
| C2サーバー侵害で判明した実被害 | 1,570件超(Check Point、2026年4月) |
被害地域・業種の特徴
地域別ではアジアが全被害の約46%を占めており、アジア集中度が突出して高い点がThe Gentlemenの際立った特徴です。国別ではタイと米国が最多ですが、日本も重要な標的となっています。業種別では製造業・建設業・医療・金融サービス・ITコンサルティングが多く、中小企業を中心に被害が出ています。
【Check Point新情報】内部データベース「Rocket」の漏洩が暴いた実態
管理者zeta88の正体と役割
2026年5月4日、The GentlemenのRaaS管理者はアンダーグラウンドフォーラム上で、グループが使用する内部バックエンドデータベース「Rocket」が漏洩したことを公式に認めました。この漏洩では9つのアカウントが露出し、Check Point Researchがアンダーグラウンドフォーラムで入手した漏洩データの分析により、管理者アカウントがzeta88(別名:hastalamuerte)であることが特定されました。
zeta88の具体的な役割として、インフラ構築(Rocketデータベース・NASストレージの管理)、ランサムウェアロッカーのビルド・配布、RaaSパネルの管理・運用、支払い管理(アフィリエイトへの90%分配)が確認されています。
重要な発見として、Check Point Researchは412件の公開被害者から29件のユニークキャンペーンを特定し、8つのアフィリエイトTOX IDを抽出しました。そのうち1つは管理者zeta88のTOX IDと一致しており、管理者が単なるインフラ管理者にとどまらず、一部の感染を直接実行している可能性を示しています。
管理者zeta88のTOX ID:
F8E24C7F5B12CD69C44C73F438F65E9BF560ADF35EBBDF92CF9A9B84079F8F04060FF98D098E確認された8つのアフィリエイトTOX ID
15CE8D5DB0BAC3BCBB1FA69F2E672CC54EFBEC7684DA792F3CBF8B007A9FEA1D16374560DFA5
2F1A9C8B8AA163BBB84FF799A0954B232C279C5E9EE42505955288EAAD28685A2BC0713C7745
88984846080D639C9A4EC394E53BA616D550B2B3AD691942EA2CCD33AA5B9340FD1A8FF40E9A
98C132E2B20B531BE6604397D97040C1E9EB42FCE12EDF119BCE8B4031CA5C70DAF5E65FA3C3
D2CBA43A1AF6D965432AE11487726DB84D2945CF2CD975D7774B76B54AF052418AC2E59ADA69
D527959A7BC728CB272A0DB683B547F079C98012201A48DD2792B84604E8BC29F6E6BDB8003F
F8E24C7F5B12CD69C44C73F438F65E9BF560ADF35EBBDF92CF9A9B84079F8F04060FF98D098E(管理者)
F96C481CBB0D6E7BDA49C6D68CFDB1D284354961534EDEEDA854C672B48A8D6B7146F90BDACB漏洩チャットが明かす内部構造——稀有な「エンドツーエンドの眺望」
漏洩したデータには複数の内部チャンネル(INFO・general・TOOLS・PODBOR)での会話が含まれており、Check Point Researchはこれを「グループの計画・実行・規模拡大の方法を示す稀有なエンドツーエンドの眺望」と表現しています。
漏洩チャットから判明した内容として、初期侵入経路の共有があります。Fortinet・Cisco edge appliances(エッジ機器)・NTLM relay・OWA/M365の認証情報ログが侵入経路として共有・議論されていることが確認されました。これはThe GentlemenがFortiGateだけでなく、Ciscoのエッジ機器とMicrosoft 365の認証情報窃取も活発に活用していることを示しています。
積極的に追跡・評価しているCVEとして、CVE-2024-55591(FortiOS/FortiProxy認証バイパス)、CVE-2025-32433(新規)、CVE-2025-33073(新規)が確認されています。CVE-2025-32433・CVE-2025-33073はこれまでの分析では公表されていなかった脆弱性であり、The Gentlemenが常に新しい攻撃経路を開拓・評価していることを示しています。
また、役割分担・共有ツールセット・EDRキルパッケージの交換が行われており、アフィリエイト間での協調的な攻撃準備が確認されました。バックエンドコンポーネントとしてRocketデータベースとNASストレージが使用されていることも判明しています。
身代金交渉の実態——25万ドル要求→19万ドル受領
漏洩データには身代金交渉のスクリーンショットも含まれており、1件の成功事例の具体的な数字が明らかになりました。
初期要求(アンカー)として250,000 USD(約3,700万円)が提示され、実際の支払い額は190,000 USD(約2,800万円)でした。初期要求の76%に相当する金額での妥結という結果です。
この「アンカー価格からのディスカウント」という交渉パターンは、被害者に「値引き交渉に成功した」と感じさせながら実際には高額の支払いを確保する典型的な二段階交渉戦術です。
二重圧力戦術——英国からトルコへのデータ再利用
Check Point Researchが特に注目する新たな戦術として、窃取データの「多目的利用」が確認されました。
英国のソフトウェアコンサルタント会社から窃取したデータを、その後のトルコ企業への攻撃において再利用したことが漏洩チャットから確認されています。The Gentlemenはトルコ企業への交渉において、英国企業がアクセスブローカーであったかのように印象づけ、「英国企業が攻撃の起点である証拠を提供する」と主張し、トルコ企業が英国コンサルタント会社に対して法的訴追を検討するよう示唆したとされています。
この手口は以下の点で通常の二重恐喝とは異なります。被害者(トルコ企業)に第三者(英国企業)への怒りを向けることで、攻撃者(The Gentlemen)への直接的な対抗意識を分散させます。また、「英国企業を訴えることに集中してほしい」というメッセージは、被害者が法執行機関へ協力するモチベーションを下げる効果があります。さらに、窃取したデータを複数の攻撃で再利用することで、一度の侵害から複数の収益を得る「データのレバレッジ」が可能になります。
攻撃手法(TTPs)の詳細
初期侵入——FortiGate VPNとCisco・M365への複合アプローチ
The Gentlemenの最も重要かつ特徴的な侵入手法はCVE-2024-55591(FortiOS/FortiProxyの認証バイパス脆弱性)の積極的な悪用です。
グループは世界14,700台超の侵害済みFortiGateデバイスデータベースと、969件の検証済みブルートフォース済みFortiGate VPN認証情報を維持しており、標的の環境にFortiGateが存在するかどうかを事前確認した上で侵入します。
Check Point Researchの漏洩チャット分析により、Fortinet/Cisco edge appliances・NTLM relay・OWA/M365認証情報ログが初期侵入の主要経路として実際に運用されていることが内部文書レベルで確認されました。またCVE-2025-32433・CVE-2025-33073という新規CVEも積極的に追跡・評価されており、SonicWall VPN・Cisco ASA・Oracle E-Business Suite(EBS)への偵察と脆弱性開発も継続中です。
二重恐喝モデル(Double Extortion)
The Gentlemenは「暗号化のみ」ではなく、データ窃取→暗号化→公開脅迫の二段階で被害者を追い詰める二重恐喝モデルを採用しています。まず機密データをネットワーク外に窃取し(データを人質にした公開脅迫が第一の恐喝)、次に本番システムのファイルをランサムウェアで暗号化して業務を停止させます(復号鍵と引き換えの身代金要求が第二の恐喝)。身代金を支払わない場合、Torネットワーク上のリークサイトで全データが公開されます。
Check Pointの漏洩チャット分析では、窃取したデータを別の攻撃で再利用する「三重利用」パターンも確認されており、一度のデータ窃取から最大限の収益と圧力を引き出す高度な戦術が確立されています。
マルウェアの技術仕様
ランサムウェア本体はGo言語(一部C言語)で記述されており、Windows・Linux・NAS・BSD・ESXi(VMware仮想化環境専用ロッカー)のクロスプラットフォームに対応します。暗号化後のファイルには.7mtzhhまたは6文字のランダム拡張子が付与され、感染ディレクトリにREADME_GENTLEMEN.txtという身代金要求ノートが作成されます。デスクトップの壁紙も変更されます。
ネットワーク内横展開——GPO悪用による一斉展開
The Gentlemenの最も危険な特徴の一つが、グループポリシーオブジェクト(GPO)を悪用したドメイン全体への一斉感染です。ランサムウェアバイナリをNETLOGON共有等のネットワーク共有フォルダに設置し、GPOによるスケジュールタスクで全ドメイン参加端末にほぼ同時実行させます。横展開にはWMI・PowerShellリモーティング・Cobalt Strike・SystemBC(C2プロキシマルウェア)が使用されます。
防御回避——EDRバイパスとフォレンジック証拠の削除
各セキュリティベンダーの製品環境に応じてカスタム構成されたAVキラーツールを展開します。BYOVD(脆弱なドライバを悪用してEDRを無効化)手法も採用しています。暗号化後にはボリュームシャドウコピー(VSS)を削除し、さらにWindowsイベントログ・RDPログ等のフォレンジック証拠を削除して調査・復旧を困難にします。
2026年5月の新手法——MSP360偽装バックアップエージェント
S-RM Informの2026年5月報告では、The GentlemenアフィリエイトがMSP360(CloudBerry)Backupを「Microsoft Online Backup」として偽装展開する新手口が確認されています。C:\Program Files\Microsoft\Online Backup\にインストールされ、正規のMicrosoftツールに見せかけて継続的なアクセス手段として悪用されます。
同グループが犯行声明を発表している日本企業
株式会社オーミケンシ——繊維大手にVPN経由で侵入、The Gentlemenが犯行声明
発生日:2026年3月16日深夜 公表日:2026年3月(初報)→2026年4月13日(続報・詳細判明)
株式会社オーミケンシ(滋賀県甲賀市)は、近江ちぢみ・麻製品・機能素材などを手掛ける繊維企業です。2026年4月13日に公表した続報によれば、3月16日深夜に外部から不正アクセスを受け、基幹システムが停止するとともにサーバーおよびファイルサーバー上の各種ファイルが暗号化されました。現時点ではVPN経由で社内ネットワークへ侵入した可能性が高く、一部サーバーでは外部へのデータ送信も確認されています。
外部専門家によるフォレンジック調査を継続中であり、ランサムウェアグループが犯行声明を出していることも確認されています。当サイトの調査では、この犯行声明がThe Gentlemenによるものであることが判明しています。
同社の説明では、漏洩の可能性がある情報は従業員に関する氏名等に限定されており、顧客の個人情報は含まれず、機微性の高い情報が含まれる可能性は低いとしています。現時点で不正利用の事実は確認されていないとのことです。
VPN経由という侵入手法はThe Gentlemenが最も多用するFortiGate VPNの脆弱性悪用と符合しており、同グループの典型的な攻撃パターンと一致しています。
株式会社イースト(east-inc.jp)—大型施設のアウトソーシング受託
-ジェントルメン.png)
DLS掲載確認日:2026年5月6日
東京都本社で、商業施設・ショッピングモール・アウトレットパーク・オフィスコンプレックスへの総合アウトソーシングサービスを提供しています。
公式発表では、2026年4月24日(金)に社内ネットワークへの第三者による不正アクセスを確認したと公表しています。現時点において、外部への情報流出の事実は確認されておらず警察への通報・関係当局への報告を実施済みで、外部のセキュリティ専門機関による調査を進めています。
DLSカウントダウンタイマー:掲載時点から約9時間57分
株式会社マルタケ(kk-marutake.co.jp)——医薬品卸・2026年4月のランサムウェア被害公表済み
.png)
DLS掲載確認日:2026年5月(カウントダウン約10時間)
創業1925年の医薬品・医療器材総合卸企業(新潟市本社、従業員477名)。当サイトでは2026年4月2日のランサムウェア攻撃被害を第三報まで継続して記事化しており、同社は「個人情報の外部流出なし」「完全復旧に相当日数を要する」としています。
DLSカウントダウンタイマー:掲載時点から約10時間5分
オリエンタルダイヤモンド株式会社(orientaldiamond.jp)——日本初のサイトホルダー企業
——日本初のサイトホルダー企業.png)
DLS掲載確認日:2026年5月(カウントダウン約222時間)
1966年創業、日本初のデビアス・サイトホルダー資格を取得したダイヤモンドジュエリー専門企業。ブライダル・婚礼ジュエリー・着物卸と幅広いポートフォリオを持つ東京の高級宝飾品市場の老舗企業です。
2026年5月12日の公式発表によれば、2026年5月4日に本社のファイルサーバーがランサムウェアを用いたサイバー攻撃を受け、データが暗号化されました。再発防止策として「侵入経路となったVPNを使用しない体制」への変更を公表しており、VPN経由で侵入されたことが確認されています。
DLSカウントダウンタイマー:掲載時点から約222時間44分(約9.3日)と他の2社より大幅に長い猶予が設定されており、交渉が継続中の可能性があります。
メディカ出版
メディカ出版は3月13日に発生したランサムウェアによる不正アクセス被害について、641,000人の個人情報漏洩の恐れを発表しています
興亜硝子
興亜硝子、ランサムウェアの被害-ランサムウェア グループ The Gentlemenが犯行声明
2026年5月26日、興亜硝子株式会社は自社サーバーがランサムウェアにより暗号化される被害を受けたと公表しました。
2026年5月24日時点でThe GentlemenのデータリークサイトにKoa Glass(興亜硝子)が掲載され、約230時間のカウントダウンタイマーが進行していることが確認されています。ただし重要な点として、リークサイトへの掲載はあくまでThe Gentlemenによる攻撃の主張であり、興亜硝子の公式発表では現時点で「外部へのデータ漏えい(窃取)の事実は確認されていない」としています。
情シス・セキュリティ担当者が今すぐ確認すべき対策
FortiGate/FortiProxy・Cisco edge appliancesへの即時パッチ適用として、CVE-2024-55591に加え、CVE-2025-32433・CVE-2025-33073についても対応したパッチを適用済みか確認してください。Check Pointの漏洩チャット分析でThe GentlemenがCiscoのエッジ機器も積極的に標的にしていることが内部文書で確認されました。
VPN認証情報の全件変更として、FortiGate VPNの管理者アカウントおよびVPNユーザーのパスワードを全件変更してください。オーミケンシの事案もVPN経由の侵入が確認されており、認証情報の窃取→VPN侵入という経路は日本企業でも現実の被害として発生しています。
M365・OWA認証情報の監視強化として、Check Pointの漏洩チャット分析でOWA/M365の認証情報ログが初期侵入経路として内部共有されていることが確認されました。M365の条件付きアクセスポリシー・多要素認証(MFA)の設定を見直し、不審なサインインアラートを整備してください。
NTLM Relayへの対策として、漏洩チャットでNTLM relayが初期侵入経路として言及されています。SMB署名の強制・NTLM認証の制限・ネットワーク内のNTLMリレー攻撃の監視を強化してください。
GPOの不審な変更の監視として、ドメインコントローラーのGPO変更ログを確認し、管理者が実施していない変更がないか点検してください。GPOは組織全体への一斉感染の起点となります。
EDR・ログの外部保全として、The GentlemenはWindowsイベントログ・RDPログ等のフォレンジック証拠を削除します。EDRのテレメトリをSIEM等に集約して外部保存しておくことが重要です。
オフラインバックアップの確認として、VSS(ボリュームシャドウコピー)は削除されます。ネットワーク・ドメインから切り離されたオフラインバックアップの存在と最新性を確認してください。
TOX IDの脅威インテリジェンス活用として、Check Pointが公開した8つのTOX IDをEDR・SIEM・脅威インテリジェンスプラットフォームのIOC(侵害指標)として登録し、これらのIDとの通信がないか監視することを推奨します。
参考情報
- Thus Spoke…The Gentlemen(Check Point Research、2026年5月13日)
- Check Point Research: DFIR Report: The Gentlemen(Check Point Research、2026年4月)
- Dark Web Profile: The Gentlemen Ransomware(SOCRadar、2026年2月12日)
- Hasta la vista, Hastalamuerte: An Overview of The Gentlemen’s TTPs(Group-IB、2026年3〜4月)
- Ransomware in focus: The Gentlemen(S-RM Inform、2026年5月)
- License to Encrypt: “The Gentlemen” Make Their Move(Cybereason)
- SystemBC C2 Server Reveals 1,570+ Victims in The Gentlemen Ransomware Operation(The Hacker News、2026年4月)
- ‘The Gentlemen’ Rapidly Rises to Ransomware Prominence(Dark Reading)
- The Gentlemen Ransomware Attack on East Inc.(DeXpose、2026年5月6日)
- ransomware.live: thegentlemen
- 【関連記事】オーミケンシ、サイバー攻撃はVPN経由か——ランサムウェアグループが犯行声明、従業員の情報の漏えいの恐れも(セキュリティ対策Lab)
- 【関連記事】ランサムウェアグループ The Gentlemen、ボット型サイバー攻撃を展開(セキュリティ対策Lab)
- 【関連記事】マルタケへのランサムウェア攻撃・個人情報外部流出なし(セキュリティ対策Lab・第三報)
- 【関連記事】Qilinランサムウェアグループ概要(セキュリティ対策Lab)
- 【関連記事】2025〜2026年 サイバー攻撃・情報漏洩の最新事例まとめ
関連記事
興亜硝子、ランサムウェアの被害-ランサムウェア グループ The Gentlemenが犯行声明
The Gentlemenがイースト・マルタケ・オリエンタルダイヤモンドへのサイバー攻撃を主張
イセトーのランサムウェアとサイバー攻撃による情報漏洩のまとめ
セキュリティインシデント 事例【2024年】
【2026年】サイバー攻撃・情報漏洩の最新 事例
2026年5月 ランサムウェアの被害 事例 まとめ
BlackSuitがKADOKAWA(ニコニコ動画)へのランサムウェア攻撃・サイバー攻撃で窃取・流出した情報を公開
香川銀行が業務委託先(イセトー)のランサムウェア被害を公表
神奈川県平塚市 納税通知書の作成業務を委託していたイセトーがランサムウェア感染により個人情報漏洩の可能性を発表
