ランサムウェアグループ The Gentlemen がアフィリエイトへEDRキラーを提供|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月24日更新日時: 2026年06月24日

セキュリティ企業ESETのリサーチチームは2026年6月18日、公式技術分析「Killing me gently: Inside Gentlemen’s EDR killer framework」で、ランサムウェア・アズ・ア・サービス（RaaS）グループ「The Gentlemen」が維持・運営する高度なEDR（Endpoint Detection and Response）キラーツール群について、数か月にわたる調査結果を公開しました。

The Gentlemenは2025年後半に出現して以降、2026年第1四半期には最も活発なランサムウェアグループの一つに急成長したグループです。

同グループが他の主要RaaSグループと一線を画す最大の特徴は、アフィリエイト（実行犯）任せにせず、運営者自らが成熟したEDRキラーツール一式を開発・維持し、アフィリエイトに直接提供している点です。

中心となる自社開発フレームワーク「GentleKiller」は少なくとも8種類の亜種を持ち、Kaspersky・Valorant・Javelin・WatchDog等の正規ソフトウェアになりすましながら、それぞれ異なる脆弱なドライバーを悪用してWindowsカーネルへアクセスします。

カーネルレベルのアクセスを獲得した後は周期的なループ処理で、CrowdStrike・SentinelOne・Microsoft Defender・Sophos等を含む48社のセキュリティ製品・400以上のプロセスを強制終了させます。

2026年5月にThe Gentlemen自身が受けた内部データ漏洩により、ESETが2026年2月に立てていた仮説運営者がアフィリエイト向けにEDRキラーツール一式を積極的に開発・維持しているという推測が裏付けられました。本記事ではESETの一次技術分析をもとに、GentleKillerの技術的詳細・外部調達ツールの統合状況・被害組織の選定方法・対応手順を解説します。

サマリー

公開日：2026年6月18日（ESET Research、執筆者：Jakub Souček氏）
対象グループ：The Gentlemen（RaaS：ランサムウェア・アズ・ア・サービス）。2025年後半に出現、2026年第1四半期に最も活発なグループの一つへ急成長
核心的な発見：運営者（operators）自らがEDRキラーツール一式を開発・維持し、アフィリエイトへ直接提供する異例の運営モデル
自社開発フレームワーク「GentleKiller」：少なくとも8種類の亜種。それぞれKaspersky・Valorant（人気シューティングゲーム）・Javelin・WatchDog等の正規製品に偽装し、異なる脆弱なドライバーを悪用
標的とするセキュリティ製品：48社・400以上のプロセス（CrowdStrike・SentinelOne・Microsoft Defender・Sophos等を含む）
外部調達・統合された3つのEDRキラーツール：
- HexKiller：Baidu AntivirusのBdApiドライバーを悪用。従来Warlockグループ専用とされていた
- ThrottleBlood：TechPowerUp LLC署名のドライバーを悪用。MedusaLocker・DragonForceの侵入でも観測
- HavocKiller：Huaweiオーディオドライバー（havoc.sys）を悪用。Huntressが2026年3月19日に初公開したが、ESETのテレメトリでは2026年1月23日には既に実環境で使用確認
クレデンシャルスティーラー「OxideHarvest」：Rust製。Chrome・Edge・Firefox・Brave等13種のブラウザを標的。アフィリエイト「quant」が運用。ファイル名buildx641.exeで確認
統一された防御回避戦略：Enigma/Themidaによるバイナリ保護、セキュリティベンダーを模した偽ファイル名、偽の署名・バージョン情報・アイコンのコピー
BYOVD（Bring Your Own Vulnerable Driver）の即応性：公開された脆弱なドライバーのPoC（UnknownKiller・PoisonKiller等）を数日以内に兵器化
被害規模：他社報道によれば478件（70か国超）〜504件（Ransomware.live集計）の被害組織
被害組織の選定方法：地理的な傾向よりもFortiGateの設定不備を主な基準に選定。
被害地域の特異性：他の主要RaaSグループ（Qilin・DragonForce・Akira等）が米国を中心に攻撃する傾向があるのに対し、The Gentlemenは東南アジア・南米・西欧に分散——タイ・ブラジル・フランス等
創設者：「hastalamuerte」（別名zeta88）。元Qilinアフィリエイト。Group-IB・PRODAFTの報告によればQilin・Embargo・LockBit・Medusa・BlackLockのアフィリエイト経験あり
正体の公表：2026年6月10日、調査ジャーナリストBrian Krebs氏がhastalamuerteの実名（36歳のロシア国籍者、Alexander Andreevich Yapaev）を公表
報酬体系：アフィリエイトへの分配率90%という業界でも高水準の取り分
暗号化方式：Go言語製（Windows・Linux対応）とC言語製のESXi版の2系統。二重恐喝（データ窃取＋暗号化）を実施

1 The Gentlemenの運営モデル—「EDRキラーツールの自社内製化」という異例の戦略
- 1.1 内部データ漏洩による裏付け
2 GentleKillerの技術的詳細—8種の亜種とBYOVD
3 外部調達された3つのEDRキラーツール
4 クレデンシャルスティーラー「OxideHarvest」——ランサムウェアと独立して動く脅威
5 被害組織の選定方法——「FortiGateの設定不備」という技術主導の標的化
- 5.1 地理的な異常な分布
- 5.2 FortiGate設定不備という選定基準
6 創設者の正体—Brian Krebs氏が暴いたhastalamuerte
7 二重恐喝の手口と暗号化方式
8 対応手順—ESETが提示する4つの具体的対策
9 FAQ
10 参考情報

The Gentlemenの運営モデル—「EDRキラーツールの自社内製化」という異例の戦略

ESETの過去の調査（Beyond the Drivers報告書）によれば、ほとんどのランサムウェア侵入において、信頼できるEDRキラーツールを見つける責任はRaaS運営者ではなく個々のアフィリエイトに委ねられています。

この通常モデルからの例外として唯一文書化されていたのが、自社開発のEDRキラーツール「EDRKillShifter」をゼロから開発し、アフィリエイトパネル経由で提供していたRansomHubでした。

Gentlemenはこの構造をさらに発展させ、自社開発の「GentleKiller」に加えて、外部から調達・標準化した3つのツール（HexKiller・ThrottleBlood・HavocKiller）まで統合した「ポートフォリオ」として提供しています。

ESETは「ほとんどのランサムウェアグループがEDRキラーをアフィリエイトに委ねる中、The Gentlemenはこの機能を中央集権化し、すぐに使える標準化されたEDRキラースイートをアフィリエイトに提供することを選んだ。この決定により、アフィリエイトにとっての参入障壁が実質的に下がり、彼らの仕事が結果的に容易になるため、Gentlemenは魅力的な運営者となっている」とされています。

内部データ漏洩による裏付け

ESETは2026年2月時点で「GentleKillerは内部ツールである」という仮説を立てていましたが、これはGroup-IB・Check Pointの報告に加え、2026年5月にGentlemen自身が受けた内部データ漏洩によって最終的に確認されました。

漏洩データの中で、グループのリーダーである「zeta88」（hastalamuerteの別名）が、検証済みアフィリエイトへのEDRキラーパッケージの維持・提供について公然と語っていたことが、運営モデルの最終的な証拠となりました。

GentleKillerの技術的詳細—8種の亜種とBYOVD

動作の仕組み

TechTimesの分析によれば、GentleKillerの各亜種は異なる正規ソフトウェアになりすまし、それぞれ異なる脆弱なドライバーを悪用してWindowsカーネルへ到達します。確認されている偽装対象には以下が含まれます。

Kaspersky（アンチウイルス）
Valorant（人気シューティングゲーム）
Javelin・WatchDog（エンタープライズツール）

カーネルレベルのアクセスを獲得すると、GentleKillerは周期的なループ処理でセキュリティプロセスを終了させます。標的とするのは48のセキュリティ製品にマッピングされた400以上のプロセスで、CrowdStrike・SentinelOne・Microsoft Defender・Sophosなど多数の主要ベンダー製品が含まれます。

多くのエンドポイントセキュリティソフトウェアはユーザー空間で動作しており、プロセスを監視し改ざん防止ポリシーを実施できますが、GentleKillerはこのレイヤーを完全に迂回します。この手法こそが「BYOVD（Bring Your Own Vulnerable Driver）」です。

確認されている悪用ドライバー

ESETのレポートは、GentleKiller各亜種が悪用する具体的なドライバーとして、Safetica・Zemana・Qihoo 360・IObit・Huawei製のドライバーを挙げています。

バリエーションの一貫性

各亜種は異なる脆弱なドライバーを使用しますが、共通する文字列・同一のコード難読化技術・類似したプロセス停止ロジックと標的範囲を共有しています。この設計は、新たに開示された脆弱性のPoCを迅速に武器化したり、ドライバーを容易に差し替えたりできるよう、大規模なコード変更を必要としない構造になっていることを示しています。

外部調達された3つのEDRキラーツール

GentleKillerに加え、Gentlemenは以下の3つの外部由来ツールを統合し、「GentlemenCollection」という共通ディレクトリに配置して同一の防御回避レイヤーで標準化しています。

ツール名	悪用ドライバー	由来・関連性
HexKiller	Baidu Antivirusの`BdApi`ドライバー	従来Warlockグループ専用とされていたが、ESETは直接の協力関係の証拠とは見ていない
ThrottleBlood	TechPowerUp LLC署名のドライバー	MedusaLocker・DragonForceの侵入でも観測。地下市場経由での流通が有力視される
HavocKiller	Huaweiオーディオドライバー（`havoc.sys`）	Huntressが2026年3月19日に公開。ESETのテレメトリでは2026年1月23日には既に実環境での使用を確認——公開前から悪用していた可能性

なお、調査では「DemoKiller」という別のEDRキラーツールも複数の侵入で観測されましたが、Gentlemenとの関連性が確認されなかったため、本スイートからは除外され、アフィリエイト固有のツールと判断されています。

ESETは「これら3つのツールがGentlemenの侵入に運用上統合されている一方で、自社内製であるのはGentleKillerのみであり、残りのEDRキラーツールは外部から調達された後に修正・標準化された可能性が高い」と高い確信度で評価しています。

クレデンシャルスティーラー「OxideHarvest」——ランサムウェアと独立して動く脅威

ESETはまた、Rust言語で書かれたクレデンシャルスティーラー「OxideHarvest」をGentlemenのアフィリエイト「quant」に関連付けました。VirusTotal上でbuildx641.exeというファイル名のサンプルが確認されています。

The Hacker Newsの報道によれば、OxideHarvestはGoogle Chrome・Microsoft Edge・Torch・Comodo・Epic Privacy Browser・Vivaldi・Brave・Opera・OperaGX・Mozilla Firefox・Waterfox・BlackHawk・IceCatという13種類のブラウザから認証情報を窃取する能力を持ちます。

TechTimesは重要な指摘をしています——「OxideHarvestはスタンドアロンツールとして機能するため、認証情報の窃取はランサムウェア展開に先行して、あるいは完全に独立して行われる可能性がある。あるGentlemenアフィリエイトのキャンペーンでネットワーク認証情報を収集されたが、ランサムウェア展開には至らなかった被害組織であっても、その認証情報が後続の攻撃に使われるか、他の脅威アクターに販売される可能性がある」。

被害組織の選定方法——「FortiGateの設定不備」という技術主導の標的化

地理的な異常な分布

ESETの分析が指摘する重要な点は、Gentlemenの被害地域の分布が他の主要RaaSグループと大きく異なることです。

Qilin・DragonForce・Akiraをはじめとする主要ランサムウェアグループの多くは、発表される被害組織の約半数が米国に集中するという強い米国中心の傾向を示します。しかしGentlemenはこの傾向から際立った例外であり、東南アジア・南米・西欧に被害が分散しています。タイ・ブラジル・フランスといった、他のトップ層グループではあまり見られない国々も標的に含まれています。

FortiGate設定不備という選定基準

漏洩データが示す通り、Gentlemenは被害候補を一元的に選別した上でアフィリエイトに配分する仕組みを取っており、被害組織は地理的位置ではなく、主にFortiGateの（誤）設定に基づいて選ばれていることが明らかになっています。

BleepingComputerはこの点について「これは特に、約7万4,000件のFortiGate VPN認証情報の集合体である『FortiBleed』の最近の発見を踏まえると興味深い」と指摘しています。当サイトが既報したFortiBleedは、ゼロデイ脆弱性を使わず過去の漏洩データ・インフォスティーラーの収集データを組み合わせてFortinetファイアウォールの認証情報を大量取得した事案であり、Gentlemenの被害選定基準との関連性が今後の調査で注目されます。

創設者の正体—Brian Krebs氏が暴いたhastalamuerte

Group-IBの分析によれば、Gentlemenは「hastalamuerte」という脅威アクターによって設立されました。同人物は元Qilinアフィリエイトであり、PRODAFTは2025年10月17日のX（旧Twitter）投稿で、Gentlemen運営者がQilin・Embargo・LockBit・Medusa・BlackLockの元アフィリエイトであったことを報告しています。

2026年6月10日、調査ジャーナリストのBrian Krebs氏が、hastalamuerteの実名に関する証拠を公開しました。PRODAFTの報告によれば、その正体は36歳のロシア国籍者、Alexander Andreevich Yapaevとされています。

二重恐喝の手口と暗号化方式

Gentlemenは二重恐喝（double extortion）を採用しており、被害者データを暗号化するだけでなく、身代金が支払われない場合はデータをリークすると脅迫します。暗号化には以下の2系統を提供しています。

Go言語製：Windows・Linux・その他プラットフォーム向け
C言語製：ESXi（仮想化基盤）向け

アフィリエイトへの報酬は90%という高い分配率が提示されており、これが優秀なアフィリエイトを引き付ける一因と考えられます。

対応手順—ESETが提示する4つの具体的対策

ESETおよび関連報道がまとめる、組織が今すぐ実施すべき対策は以下のとおりです。

① HVCI（Hypervisor-Protected Code Integrity）の有効化

HVCIは、署名されていない、または既知の脆弱なドライバーがカーネルにロードされることを防ぎ、BYOVDの中核メカニズムをOSレベルでブロックします。Windows環境でHVCIが有効化されているか確認してください。

② Microsoft脆弱ドライバーブロックリストの最新化と適用確認

Microsoft Vulnerable Driver Blocklistが最新であり、確実に適用されているかを確認してください。ESETのレポートには、GentleKiller亜種が悪用する具体的なドライバー（Safetica・Zemana・Qihoo 360・IObit・Huawei等）がリストされており、これらが自社環境でブロック対象になっているか照合してください。

③ 異常なプロセス終了パターンの行動分析ベースでの検知

cyberpress.orgが指摘する通り、「防御者はGentleKillerの行動的シグネチャ・BYOVDドライバー悪用・プロセス終了ループ・ベンダーなりすましを理解することで、グループの進化し続け急速に適応する武器庫に耐えうる検知戦略の基盤を構築できる」とされています。静的なIOC（既知のファイルハッシュ等）だけに依存せず、振る舞いベースの検知（異常なプロセス終了ループ等）を導入してください。

④ FortiGate機器の設定の厳格な見直し

Gentlemenが被害組織の選定基準としてFortiGateの設定不備を重視している点を踏まえ、自社のFortiGate機器の設定（管理インターフェースの公開状況・認証情報の管理・パッチ適用状況）を改めて点検してください。当サイトが既報したFortiSandbox脆弱性やFortiBleedを含め、Fortinet製品全体の脆弱性管理を強化することが重要です。

FAQ

Q. なぜGentlemenは米国をあまり標的にしていないのですか？ A. 明確な理由は公表されていませんが、ESETの分析は被害組織の選定がFortiGateの設定不備という技術的基準に基づいていることを指摘しています。地理的な優先順位よりも、脆弱性のある機器がどこに存在するかが選定を左右している可能性があります。

Q. EDR製品を導入していれば安全ですか？ A. いいえ。GentleKillerはBYOVD技術を使ってEDR・アンチウイルスソフトウェアを根本から無効化することを目的としています。EDR導入は重要な対策ですが、HVCIの有効化・脆弱ドライバーブロックリストの適用など、複数の防御層を組み合わせることが必要です。

Q. 自社が標的にされたかどうかをどう確認すればよいですか？ A. 本記事で紹介したIOC的な情報（GentleKillerが悪用するドライバー名・OxideHarvestのファイル名buildx641.exe等）を参考に、自社のセキュリティログを確認することを推奨します。詳細はESETの一次レポートを参照してください。