企業の事業継続を脅かす最大のサイバーリスクの一つが、ランサムウェアによる攻撃だ。近年、サイバー犯罪の世界では攻撃ツールやインフラをパッケージとして提供する「RaaS(サービスとしてのランサムウェア)」の台頭が著しい。こうした中、2026年に入り世界で2番目に活発な動きを見せている新興RaaSグループ「The Gentlemen」の内部データベースやチャットログが地下フォーラムに流出する事態が発生した。
チェック・ポイント・ソフトウェア・テクノロジーズの脅威インテリジェンス部門であるチェック・ポイント・リサーチ(CPR)はこの流出データを詳細に分析。その結果、単なる犯罪集団の枠を超え、高度に効率性と収益性を追求する「半企業型組織」へと進化した彼らの実態と、生々しい攻撃の手口が明らかになった。
流出データによると、The Gentlemenは「zeta88(別名:hastalamuerte)」と呼ばれる人物を中心とした、わずか9名ほどの少数精鋭で運営されており、管理者が単にプラットフォームを運営するだけでなく、自ら暗号化攻撃へ直接参加しているのが特徴だ。チャット内には、攻撃の最中に「ロックしている(暗号化中)」とリアルタイムで書き込む様子が残されていた。さらに、この管理者は中国系の先進的なAIモデルである「DeepSeek」や「Qwen」といったAIコーディング支援ツールを駆使し、わずか3日間でRaaSの管理パネル全体を構築したという。
このグループが急速に拡大した背景には、極めて「ビジネスライク」なインセンティブ設計がある。一般的なRaaSでは、被害企業から得られた身代金の配分率は「アフィリエイト(実行犯)80%:運営側20%」が標準とされるが、The Gentlemenは「90%:10%」という破格の条件を提示。この高い利益分配率を武器に、既存の有力ランサムウェアグループである「Qilin」などから熟練のオペレーターを次々と引き抜いていた。
彼らが用いる侵入・攻撃手法を分析すると、決して高度なゼロデイ(未修正の脆弱性)を乱発しているわけではない。むしろ、徹底して「コストパフォーマンス」と「スピード」を重視した古典的なアプローチが中心だ。主な初期侵入経路は、パッチが未適用のVPN機器やインターネットに公開されたままのシステム、インフォスティーラー(情報窃取マルウェア)によって盗み出された認証情報、あるいは「アクセスブローカー」と呼ばれる専門業者からのアクセス権購入である。
流出データからは、既に侵害された約1万4700台のFortiGate機器のデータベースや、検証済みのVPN資格情報が大量に管理されていたことが分かっている。アフィリエイトは標的の選定や事前の情報収集という手間を完全にスキップし、提供されたリストを用いて即座に標的の社内ネットワークへ侵入、わずか数時間のうちにネットワーク全体を暗号化している。
また、流出したチャットには、ある英国のソフトウェアインフラ企業から盗み出したデータを使い、その企業の顧客であるトルコの企業を地続きで攻撃した事例が記録されていた。身代金交渉の際、運営側はトルコ企業に対して「お前たちの情報が漏れたのはこの英国企業が原因だ」と告げ、英国企業をアクセスブローカーに見立てて法的責任を追及するようそそのかすなど、被害者同士の不和を煽って精神的プレッシャーをかける二重恐喝を行っていた。実際の交渉ログでは、当初25万ドルの要求に対し、最終的に19万ドルを支払わせることに成功した生々しいプロセスも確認されている。この事件に対し英国企業は「アクセスされたのは通常の業務データのみ」と公式に発表していたが、実際には発表とは異なる実態を物語っていた。
