EDR停止まで“サービスで提供” 攻撃者を支える闇のプラットフォームの実態:ランサムウェアはここまで来た
ランサムウェア攻撃の成功を左右するEDRの無効化。その役割は通常、攻撃実行役に委ねられることが多い。だがESETの調査からは、あるRaaS集団がその仕組み自体をサービスとして提供していた実態が見えてきた。
ESETは2026年6月18日(現地時間)、「Ransomware as a Service」(RaaS)グループ「Gentlemen」の動向に関する調査結果を公開した。
従来はアフィリエイター(攻撃の実行役)が個別に調達していたEDR(Endpoint Detection and Response)無効化機能を、Gentlemenはサービスとして提供していた。流出した内部データからは、運営側が継続的にツールを開発・保守する実態も見えてきた。
攻撃者に配られた「EDR停止サービス」の中身
Gentlemenは2025年後半に出現したRaaSで、2026年第1四半期には活動量の多いランサムウェア集団の一つとなった。アフィリエイターには獲得した身代金の90%を配分する仕組みを採用しており、高い配当を得られるところからアフィリエイターの利用にもつながっているとみられる。
同グループは暗号化に加え、窃取した情報の公開を示唆する二重脅迫型の手法を使う。「Windows」や「Linux」などを標的とするGo製の暗号化プログラムと、C言語製の「VMware ESXi」用暗号化プログラムを提供している。
EDRは不審な挙動を監視して攻撃を検知する仕組みであり、その無効化はランサムウェア攻撃成功の重要な前提条件となる。ESETによると、Gentlemenは、独自開発したEDR無効化ツール「GentleKiller」を中核に据えた複数のEDR無効化ツールをアフィリエイターに提供する体制を構築していた。
流出した同グループの内部データには、組織の指導者とされる人物がEDR無効化ツール群を維持し、アフィリエイターに提供している旨の発言が含まれており、ESETの分析結果を裏付けた。
同調査ではGentleKillerに加え、「HexKiller」「ThrottleBlood」「HavocKiller」といった外部由来のEDR無効化ツールも運用基盤に組み込まれていたことを確認した。これらは共通の防御回避機能によって統一的に運用されていた。
防御回避機能においては、「Enigma」や「Themida」によるバイナリー保護の適用、著名ソフトウェア企業名に類似したファイル名の使用、偽のバージョン情報の付与、正規ソフトウェアからコピーした無効なデジタル署名、正規製品のアイコン模倣などが確認された。こうした仕組みにより、外部から入手したツールにも同様の偽装手法を適用できる構造となっていた。
GentleKillerは少なくとも8種類の亜種が確認されている。各亜種は異なる脆弱ドライバーや不正ドライバーを悪用するが、内部構造には共通点が多く、同一の開発テンプレートから派生したとみられる。セキュリティ製品関連の多数のプロセスを対象とし、定期的なプロセス終了処理や共通の難読化手法などが認められた。
ESETは、新たに公開された正規だが脆弱性を含むドライバーを悪用してセキュリティ機能を停止させる「Bring Your Own Vulnerable Driver(BYOVD)」手法のPoC(概念実証)コードをGentlemenが短期間で取り込む能力を持つ点にも注目した。「UnknownKiller」や「PoisonKiller」に関連する手法は、公開から数日以内に運用に組み込まれた事例が確認された。
被害対象の傾向にも特徴がみられた。大規模RaaS集団では米国の被害組織が高い割合を占める例が多いが、Gentlemenは東南アジアや南米、西欧へ広く標的を分散させていた。タイやブラジル、フランスなども対象に含まれていた。流出データからは、有望な侵入先候補を運営側が選別し、アフィリエイターに割り当てる集中管理型の仕組みも確認された。
調査では侵入後の活動を支援するツールとの関連も確認された。認証情報窃取ツール「OxideHarvest」とGentlemenのアフィリエイターとの関連も判明した。Rustで開発された同ツールは、指定した認証情報を使って複数のホストに接続し、取得した情報を収集する機能を持つ。ESETは、アフィリエイターが運用していた「buildx641」と同一のツールであると結論付けた。
ESETは、Gentlemenの手法がアフィリエイターの負担を軽減し、攻撃実行までの障壁を下げる構造を持つと分析した。独自開発ツールと外部ツールを組み合わせた運用モデルや、防御回避機能の共通化によって帰属判断を難しくしている点も特徴として挙げた。調査結果は、インシデント単位の詳細分析の必要性と、EDR無効化技術への対策強化の重要性を示す内容となった。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
“ランサムウェア”と聞くと、ある日突然データが暗号化されると思いがちだ。しかし攻撃者は、そのはるか前から静かに侵入し、社内を調査し、重要データを探し出している。泥棒の犯行になぞらえながら、ランサムウェア攻撃の全体像を分かりやすく解説しよう。
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。
インシデント0件は良いニュースとは限らない? 報告の質をちょい上げするコツ
インシデント発生件数0件――多くの企業で「良いニュース」として受け止められる数字です。しかし、その結果を手放しで喜んでよいとは限りません。攻撃を防いだからゼロだったのか、そもそも見えていなかったのか。その違いは報告書からは見えません。見落としがちな“ゼロの意味”と、報告の質を高めるヒントを紹介します。
パッチ適用後も標的に? 32万台超のFortiGateを襲った「FortiBleed」の正体
FortiGateを狙った大規模な認証情報収集キャンペーンの存在が明らかになった。対象となった機器は32万台超。その中には比較的新しい更新プログラムが適用された装置も含まれていたという。攻撃者は何を狙い、どのように侵入経路を確保していたのか。
世界中のWebサーバが影響 Apacheが危険な脆弱性を一斉修正
Apache HTTP Serverに大規模な修正が入った。最新版ではHTTP/2処理をはじめ、プロキシやSSL、認証機能など広範囲に及ぶ脆弱性に対処している。サービス停止やメモリ破壊につながる恐れがある問題も含まれていたため急ぎ修正してほしい。