流出データが暴いたランサムウェア集団「The Gentlemen」の急拡大

RaaS（Ransomware‑as‑a‑Service）の仕組み

The Gentlemen は RaaS（Ransomware-as-a-Service） と呼ばれるモデルで運営されています。

これはクラウドサービスのような仕組みで、開発者がランサムウェア基盤を提供し、別の犯罪者（アフィリエイト）が実際の侵入や攻撃を担当する形です。

基本的な役割分担は次の通りです。

• コア運営者：マルウェア開発、管理パネル、支払いインフラを運営
• アフィリエイト：企業ネットワークへの侵入、データ窃取、ランサムウェア実行
• 利益分配：身代金をアフィリエイトと運営者で分配

流出したバックエンド情報では、「zeta88」（別名 hastalamuerte）と呼ばれる管理者がインフラやRaaSパネルを管理していたとされています。

このモデルの利点は、少人数のコアチームでも世界規模の攻撃活動を展開できる点です。

狙われたのは「ネットワークの境界機器」

流出データと研究者の分析で特に注目されたのが、侵入経路の多くがインターネット公開されたネットワーク機器だったことです。

標的になったのは主に次のような機器です。

• ファイアウォール
• VPNゲートウェイ
• ネットワーク管理システム

これらは企業ネットワークの入口にあるため、一度侵入されると内部へ広くアクセスされる可能性があります。

特に関連が指摘された脆弱性の一つが CVE‑2024‑55591 です。

この脆弱性は Fortinet の FortiOS / FortiProxy に存在する認証バイパス問題で、攻撃者が特別なリクエストを送ることで スーパー管理者権限を取得できる可能性があります。

約1万4,700台のFortiGate侵害データ

さらに驚くべき点として、調査ではグループが世界中で既に侵害されたFortiGate機器の巨大なリストを管理していた可能性が示されました。

報告によれば、その数は

• 約14,700台の既に侵害されたFortiGate機器
• 数百件の有効なVPN認証情報

に及ぶとされています。

こうしたリストは、ランサムウェア攻撃の「候補リスト」として機能します。攻撃者は既に侵入可能なネットワークを選び、そこから横展開して本格的な攻撃を仕掛けることができます。

内部チャットが示した攻撃の流れ

流出したチャットログでは、複数の運用チャンネルで攻撃に関するやり取りが行われていたことが確認されました。

内容には次のようなテーマが含まれていました。

• 攻撃対象の選定
• インフラ管理
• アフィリエイトの活動
• 被害組織を公開する前の調整

これにより研究者は、侵入からランサムウェア実行、リークサイト公開までのワークフローをある程度再構築できたとしています。

防御側への重要な教訓

今回の流出が示した最も重要なポイントは、企業ネットワークの“境界”が最大の弱点になり得るということです。

多くの組織はエンドポイント防御に注力していますが、ファイアウォールやVPN機器が侵害されると、攻撃者は内部ネットワークへ直接アクセスできてしまいます。

主な防御策としては次のような対策が挙げられます。

• Fortinet機器などの重大脆弱性（例：CVE‑2024‑55591）の迅速なパッチ適用
• 管理インターフェースをインターネット公開しない
• 管理者アクセスに多要素認証（MFA）を導入
• ファイアウォールやVPNログの継続的監視

断片的だが重要な内部資料

研究者によれば、今回流出したデータは 完全な内部資料ではなく一部のみと考えられています。

それでも、RaaS型ランサムウェアが

• 小規模な中核チーム
• 多数のアフィリエイト
• 既に侵害されたインフラのリスト

を組み合わせることで、短期間で世界規模の攻撃能力を持つことを示す重要な事例となりました。

そして防御側にとっての結論は明確です。

ランサムウェア時代では、インターネットに接続されたネットワーク機器そのものが最前線の防衛ラインになっているということです。