新潟市西区を本社とし、新潟・東北・関東エリアの医療機関や調剤薬局に医薬品・医療機器を供給する株式会社マルタケ(代表取締役:茂木稔之)は2026年6月24日、2026年4月27日に発生したランサムウェア攻撃による不正アクセス事案に関する第4報を公表しました。
外部専門機関によるフォレンジック調査の結果、攻撃者が不正に作成したアカウント情報を使ってサーバーに侵入したことが確認されました。取引先・株主・役員および社員情報がサーバーから暗号化・持ち出しされ、攻撃者が運営するリークサイト(ダークウェブ上)に掲載されていることも確認されています。
攻撃を主張しているのはランサムウェアグループ「The Gentlemen(Storm-2697)」で、マルタケは同グループが攻撃を主張した日本企業6社のうちの1社です。現在も仮サーバー環境で業務を継続しており、医薬品等の安定供給を最優先に復旧作業が進んでいます。
サマリー
- 被害企業:株式会社マルタケ(新潟市西区)─ 1925年創業・創業100周年を迎えた医薬品専門卸売会社
- 第4報公表日:2026年6月24日
- 攻撃発生日:2026年4月27日
- 攻撃手法:不正に作成したアカウント情報を用いたサーバーへの不正アクセス→ランサムウェアによる暗号化・データ窃取
- クライアントPC:334台は外部からの不正アクセス・マルウェアの痕跡なし
- 漏洩が確認された情報:取引先情報・株主情報・弊社および関連会社の役員・社員情報
- リークサイト:攻撃者が運営するダークウェブ上のリークサイトに掲載を確認
- 攻撃を主張するグループ:The Gentlemen(Microsoft内部呼称:Storm-2697)
- 事業継続:仮サーバー環境で業務運営中。医薬品等の安定供給を最優先
- 関係当局:警察・個人情報保護委員会に報告済み
| 項目 | 内容 |
|---|---|
| 企業 | 株式会社マルタケ(新潟市西区、1925年創業) |
| 業種 | 医薬品・医療機器の専門卸売 |
| 供給エリア | 新潟・東北(宮城・山形・秋田)・関東(東京・群馬) |
| 攻撃発生日 | 2026年4月27日 |
| 侵入手段 | 不正に作成したアカウント情報によるサーバーアクセス |
| 暗号化・持ち出し情報 | 取引先情報・株主情報・役員および社員情報 |
| クライアントPC(334台) | 不正アクセス・マルウェアの痕跡なし |
| リークサイト掲載 | 確認済み(ダークウェブ上) |
| 攻撃主張グループ | The Gentlemen(Storm-2697) |
| 第4報公表日 | 2026年6月24日 |
何が起きたか
株式会社マルタケは第1報(2026年4月28日)でサーバーのシステム障害を発表した後、第2報(4月29日)でランサムウェアによる影響の可能性を、第3報(5月8日)でランサムウェア攻撃の確定を公表してきました。今回の第4報(6月24日)は外部専門機関によるフォレンジック調査が完了した段階での詳細報告です。
調査の結果、侵入経路として確認されたのは「攻撃者が何らかの方法で不正に作成したアカウント情報を用いてサーバー内にアクセスした」ことです。
正規の認証情報に見せかけた不正アカウントを経由した侵入で、これは近年のランサムウェア攻撃で多く見られるパターンです。社内端末であるクライアントPC 334台については、外部からの不正アクセスの痕跡もマルウェアの痕跡も確認されておらず、感染は社内サーバー側に限定されていました。
攻撃者によってサーバーに保管されていた情報の一部が暗号化・持ち出しされており、第4報ではその具体的な種類として取引先情報・株主情報・同社および関連会社の役員および社員情報が明示されています。
これらの情報は攻撃者が運営するリークサイト(通常のブラウザからはアクセスできないダークウェブ上のサイト)に掲載されていることが確認されています。同社はリークサイト以外での情報公開は確認されていないとしており、現在も掲載情報の精査と追加掲載の継続監視を続けています。
The Gentlemen(Storm-2697)の概要
マルタケへの攻撃を主張しているのは、急成長中のランサムウェアグループ「The Gentlemen」(Microsoftによる内部呼称:Storm-2697)です。
関連:ランサムウェアグループ The Gentlemen(ザ・ジェントルメン)─ 急成長RaaS。日本の企業6社へのサイバー攻撃を主張
グループの成り立ち
The Gentlemenは2025年7〜8月頃に活動が表面化した比較的新しいRaaSグループです。複数の外部調査では、元々Qilinのアフィリエイトとして関与していたメンバーが離脱してRaaSとして独立した経緯が指摘されています。急速な成長の最大の要因は、アフィリエイトへの身代金分配率を業界最高水準の90%に設定したことです。業界標準が70〜80%であるなか、この条件が経験豊富なアフィリエイトを競合グループから引き抜く強力な誘因になっています。
規模と急成長
2026年4月にはDLS(データリークサイト)掲載件数で世界第2位(340件超)に急上昇しました。2026年6月13日時点ではダークウェブのリークサイトに483件の被害者を掲載しており、うち380件が2026年だけで追加されたものです。これは2026年の被害者公開数でQilinに次ぐ2番目に活発なランサムウェアブランドという規模です。Check Pointがリリースしたデータによれば、C2サーバー侵害による分析では実被害は1,570件超に上るとされています。
技術的な特徴
The GentlemenのTTPs(戦術・技術・手順)として三井物産セキュアディレクションが公開した内部チャットログの分析と複数のセキュリティ機関の調査では、以下の手口が確認されています。
主な初期侵入経路はインターネットに公開されたVPN装置、特にFortinet/FortiGateの脆弱性(CVE-2024-55591・CVE-2024-21762)の悪用です。インフォスティーラー(情報窃取マルウェア)によって事前に窃取された認証情報の悪用も確認されています。マルタケの第4報に記されている「不正に作成したアカウント情報」という侵入経路は、こうした窃取済み認証情報の流用と一致する可能性があります。
ネットワーク内への横展開にはCobalt StrikeやSystemBCが使用されます。Active Directoryを通じた権限掌握の後、GPO(グループポリシーオブジェクト)を使ってドメイン参加システムにほぼ同時に暗号化を実行するという洗練された手法が確認されています。対応するランサムウェアはWindows・Linux・NAS・BSD向けにはGo言語製、VMware ESXi向けにはC言語製のロッカーを持ち、企業インフラ全体を停止させることを前提に設計されています。暗号化の前にはデータを窃取し、バックアップへの妨害も行います。
2026年5月初旬には内部チャットログがダークフォーラム上に流出しました。ロシア語で記録されたCSVファイル22個と画像312個からなり、3,733件のメッセージ(2025年11月7日〜2026年4月30日)が確認されています。チャットの内容は攻撃対象の選定・侵入経路の確認・横展開・データ窃取・バックアップ妨害・攻撃手法の学習共有にわたります。
地域的な特徴
全被害の約46%がアジアに集中しており、他のランサムウェアグループと比較して日本を含むアジアへの集中度が突出しています。マルタケはThe Gentlemenが攻撃を主張した日本企業6社のうちの1社であり、他にはオーミケンシ・メディカ出版・株式会社イースト・オリエンタルダイヤモンド・興亜硝子が含まれます。
医薬品卸へのランサムウェア攻撃の深刻な意味
マルタケは新潟・東北・関東の広域エリアにわたる医療機関・調剤薬局への医薬品供給を担う地域医療インフラの要です。このような企業が被害を受けた場合、直接的な情報漏洩被害にとどまらず、受発注・在庫管理・配送管理システムの停止が医薬品供給の遅延・欠品につながり、医療提供に影響が及ぶリスクがあります。
実際に今回も第3報の段階で「代替手段で供給を継続」としており、紙伝票・電話・FAXなどによる手動対応が長期間続いたと考えられます。創業100年の節目に受けたこの被害の復旧が本格的なシステム再構築を必要とする規模であることが第4報の内容からも読み取れます。
情報システム部門が取るべき対策
今回のマルタケへの侵入経路として確認された「不正に作成したアカウント情報」による侵入は、The Gentlemenの典型的な手口です。以下の対策確認を推奨します。
インターネットに公開しているVPN機器の脆弱性対応として、FortiGate(CVE-2024-55591・CVE-2024-21762)をはじめとするVPN装置のパッチ適用状況を改めて確認してください。The GentlemenはFortiGateを主要な侵入経路として継続的に悪用しており、未適用のままの環境は標的になるリスクが高い状態です。
アカウントと認証情報の管理として、インフォスティーラーによって窃取されたアカウント情報が攻撃者に渡っている可能性を前提に、VPN・RDP・管理系システムへのアクセスにはMFAを必須化してください。特権アカウントの棚卸しと、退職者・異動者のアカウント無効化の徹底も重要です。
バックアップの保護として、The GentlemenはGPOを使った一斉暗号化とバックアップへの妨害を組み合わせます。ネットワークから完全に分離されたオフラインバックアップの整備と、定期的なリストア検証がランサムウェア被害からの事業継続の唯一の根本的な対策です。
The Gentlemenによる攻撃を受けたマルタケ・興亜硝子・メディカ出版の3社のフォレンジック調査結果に共通するのは「第三者による正規アカウント情報を使った侵入」です。この手口への対策として、ログ監視・異常ログイン検知・EDRによる横展開の早期検出を組み合わせた多層防御が必要です。
FAQ
Q. マルタケの医薬品供給は現在も続いていますか?
A. はい。第4報時点でも医薬品等の安定供給を最優先事項とし、仮サーバー環境による業務運用を継続するとしています。システムの完全復旧時期は公表されていません。
Q. 自分の情報が漏洩したか確認する方法はありますか?
A. マルタケは「万が一弊社を騙った不審な電話やメール等を受け取られた場合は、情報提供せず速やかに弊社までご連絡ください」とし、問い合わせ窓口として025-268-6311(平日10:00〜17:00)を設けています。取引先・株主・関連会社の役員および社員に該当する可能性がある場合は直接確認してください。
Q. The Gentlemenの攻撃主張はマルタケの公式発表と一致していますか?
A. 完全な一致の確認は困難ですが、整合性はあります。第4報で確認された「不正アカウントによる侵入・データ窃取・リークサイトへの掲載」は、The Gentlemenの典型的な二重脅迫手法と一致します。マルタケの公式発表では攻撃グループ名は明示されていませんが、The Gentlemenが当社への攻撃を主張していることは当サイトの既報で確認されています。
Q. The Gentlemenに対する国際的な法執行機関の対応は?
A. 2026年6月24日時点では、Operation Chronosのようなインフラ解体作戦は確認されていません。2026年5月に内部チャットログがダークフォーラムに流出したことで、グループの内部構造や手口の一部が明らかになっており、脅威インテリジェンス企業による分析が進んでいます。
出典
関連記事
ランサムウェア グループ The Gentlemen(ザ・ジェントルメン)-急成長RaaS 日本の企業6社へのサイバー攻撃を主張
The Gentlemenがイースト・マルタケ・オリエンタルダイヤモンドへのサイバー攻撃を主張
ランサムウェア グループ The Gentlemen がアフィリエイトへEDRキラーを提供
興亜硝子、ランサムウェアの被害-ランサムウェア グループ The Gentlemenが犯行声明
オーストラリア第2位の砂糖生産者 Mackay Sugarがランサムウェア攻撃で操業停止-ランサムウェアグループ The Gentlemenが犯行声明
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
マルタケ(医薬品卸)にランサムウェアによるサイバー攻撃、医療機関に影響 個人情報漏洩の可能性は調査中
日本セラミックの不正アクセスによるサイバー攻撃、想定影響は約3万5,650名・約950社に縮小
メディカ出版、ランサムウェアによるサイバー攻撃の調査完了-64.1万人の個人情報漏洩の恐れ ランサムウェア グループ The Gentlemenが犯行声明
