要約。
過去4年間に発生した4件のオペレーター側の情報漏洩(Conti 2022年、Black Basta 2025年2月、LockBitのパネル 2025年5月、The Gentlemen 2026年5月)は、ランサムウェアグループが人員構成、マーケティング、ツールの活用方法を変えつつあることを示している。一方で、実際にシステムに侵入し、内部を移動し、データを窃取する手法にはほとんど変化が見られない。検知機能は機能不全に陥っているわけではない。ただ、不完全なだけである。
--
2026年5月、 Ransom-ISAC研究チーム 「The Gentlemen」と呼ばれるロシア語圏のグループが利用していたRocket.ChatのOnionサイトから3,366件のメッセージを抽出しました。このグループは、Qilinに次ぐ2026年最も活発なランサムウェアグループとしてランク付けされています。ダンプデータの中に、あるMatrixのログが埋もれていました。 bestflowers247.online、ホームサーバー Black Basta は2023年から使用Black Basta. 両方に現れたハンドル: ティンカー、交渉担当者。Intel 471は ティンカーの単独プロフィール 2025年初頭、Black Basta「phishing 兼交渉担当者」として。Ransom-ISAC 中程度から高い確信度で評価する そのオペレーターは、それ以前にもコンティを通じて同じ役割を担っていた。
ハンドルは1つ。ブランドは3つ。4年間。仕事は同じ。
その詳細は些細なものですが、それがすべてを物語っています。通信事業者はブランド名を変更するだけで、事業から撤退することはありません。そして、ネットワークに参入するために彼らがこれまで行ってきたことは、ほとんど変わっていません。
ここ数週間、私は入手可能な一次リーク情報をすべて読み漁ってきました。具体的には、Conti Jabberのダンプデータ、LockBitのアフィリエイトパネルのSQLリーク、Black Basta 、そしてRansom-ISACによる「The Gentlemen」の分析レポート(全2部)などです。以下に、各ダンプデータで明らかになった変化点、変わらなかった点、そしてどのダンプデータにも繰り返し見られた5つの情報ギャップについてまとめます。
4つの情報漏洩の概要
コンティ(2022年2月)
2022年2月25日、コンティの指導部はダークネット上に声明を投稿し、ウクライナとの戦争においてロシア政府への「全面的な支援」を約束した。その2日後、身元不明のユーザーがTwitterアカウントを開設した @ContiLeaks そして、長年にわたるJabberの内部チャットの公開を開始した。多くのアナリストは、この情報源を、以前からContiのインフラにアクセス権を持っていたウクライナの研究者であると見ている。このデータはmalware 「vx-underground」によって再公開され、2020年6月から2022年2月までの約6万件のダイレクトメッセージが含まれていた。
Black Basta 2025年2月)
2025年2月11日、あるアカウントが @ExploitWhispers Telegram上に、2023年9月18日から2024年9月28日までの期間に送受信された、主にロシア語のMatrixメッセージ196,045件を含む47MBのJSONファイルが公開された。情報漏洩者の動機として、Black Basta ロシアの銀行を標的にしたことで「一線をBlack Basta 」Black Basta 述べている。
LockBit(2025年5月)
2025年5月7日、「xoxo from Prague」と名乗る匿名の攻撃者が、LockBitのオニオンサイトを以下のメッセージに置き換えた 「犯罪はするな。犯罪は悪いことだ」 および以下のリンク paneldb_dump.zip、アフィリエイト管理パネルの完全なSQLエクスポートデータです。このダンプデータは、2024年12月18日から2025年4月29日までの期間をカバーしており、前年に英国国家犯罪対策庁(NCA)によるサイト閉鎖が行われた後の「オペレーション・クロノス」終了後の再稼働期間全体を対象としています。
『ザ・ジェントルメン』(2026年5月)
5月2日、ホスティングプロバイダーの4VPS.SUは、自社のインフラへの侵害を公表した。プロキシサーバーがすり替えられ、GRUBローダーが破損していたという。その2日後、The GentlemenはT1erOneフォーラムに独自の声明を投稿し、ロシアのことわざを引用してこの情報漏洩を一蹴した。 「犬は吠えるが、キャラバンは進んでいく」。 5月5日、自らを n345 PwnForumsで、このデータセットをビットコイン1万ドルで提供した。3日後、同じユーザーがCryptBBでこれを無料で公開した。データダンプの内容は、2025年11月から2026年4月下旬にかけて、22のルームにまたがる、セルフホスト型のRocket.Chatオニオンサイトからのメッセージ3,366件である。これに続くパッケージとして知られる JA456 その後まもなく、Cracked上で別のユーザー名を使って再び姿を現し、今度はオペレーター側のデータが公開された。具体的には、MEGAアカウントのGDPRセッション履歴や、Synology NASのデータなどである。 /etc/shadow、および工場出荷時設定へのリセット時のスクリーンショット データ流出がまだ395 KB/sのアップロード速度で進行中だった.
何が進化したのか
1. 企業組織は縮小し、分散化が進んだ
コンティは中規模企業のような運営体制をとっていた。従業員数は約100名で、人事部門や採用パイプラインを備え、給与は毎月15日と30日に支給され、勤務時間はモスクワ時間の10時から18時までであった。一部の推計では、すべてのサブチームを合わせると350名に達するとの見方もある。
Black Basta、3年経った今もモスクワの2つのオフィスを拠点として活動しており、週あたりの食費予算は約2,000米ドル、リーダーを拠点間を行き来させる専属の運転手が1人いた。規模は小さく、結束は固く、依然として同じ場所に拠点を構えていた。
The Gentlemenの様相は一風変わっている。Rocket.Chatのダンプデータには9つの異なるオペレーターIDが確認され、チャット活動のタイムスタンプは、MSK(zeta88、Kunder、Protagor)、UTC+5~+9(quant)、UTC+7~+8(mAst3r)、UTC+8~+10(qbit)の各時間帯に集中している。オフィスはない。 給与支払いの周期もない。コアメンバーは異なるタイムゾーンに分散しており、自前でホストしたRocket.Chatインスタンスを通じて連携し、「近いうちにRustベースのチャット」への移行を計画している。
そのプロのランサムウェア組織は、フランチャイズ形式のグループへと分裂した。
2. 同じメンバー、3つのブランド、リセットなし
ティンカーの系譜は、ブランド変更を経てもオペレーターの継続性が保たれていることを示す最も明確な証拠である。 インテル 471 『Black Basta 』から、phishing 活動、コールセンターの調整、および交渉を中心としたコンティ(Conti)時代の役割Black Basta 、同じオペレーターの足取りをたどった。 ランサムウェア・ISAC ティンカーは、データ分析、被害者への接触、認証情報操作といった同様の業務機能を持ち、『ザ・ジェントルメン』へとつながっている。共通する bestflowers247.online 「Black Basta 「Gentlemen」の両アーカイブに存在するMatrix homeserverは、その系譜におけるインフラストラクチャの基盤を担っている。
リブランディングとは、緊急時対応策ではなく、継続的な戦略である。
3. AIは構想段階から実用段階へと移行した
コンティのチャットにはAIは登場しません。2022年のオペレーター業務フローは人間主導であり、企業の収益に見合った身代金設定を行うためにZoomInfoのサブスクリプションを購入し、サブチーム間で知的財産の痕跡が重複しないよう、外部のコードレビュー担当者を雇用しています。
2024年のBlack Basta 時点では、ChatGPTは日常的に利用されている。コーパス全体で、4つの明確な使用例が記録されている:
- オペレーターNNは、被害者のネットワーク上で誤ってアクティブなユーザーセッションにログインしてしまい、ChatGPTを使って偽の「ネットワーク診断」メッセージを生成し、ユーザーを欺いた。
- mecor(Pikabotの開発者)は、ChatGPTを利用して、Go言語ベースのARM/Linux向けプロキシサーバーのビルドエラーのデバッグを行いました。
- YY(主任プログラマー)は、アンチウイルス(AV)やエンドポイント検出・対応(EDR)の検知を回避するため、ChatGPTmalware 書き直すよう指示された。ChatGPTが拒否した場合は、YYがコードを分割して送信するという回避策が講じられた。
- ティンカー(交渉担当者)は、GPT APIサービスを利用して、被害者の連絡先収集、LinkedInでの身元確認、スパム送信、およびコールドコールの自動化を行った。
2026年の「ジェントルメン・チャット」では、AIが交渉の流れに組み込まれている。Zeta88が同僚にこう言う。「GPT、Claude、俺たちは交渉役を演じているんだ。こいつが君のために文章を書いてくれるよ」。 また、グループでは、Hugging Faceでホストされている無修正の「アブリテレイテッド」Qwenモデルや、vast.aiでGPUをレンタルして盗まれたデータのAI支援による選別を行うことについても議論している。
4つのリーク情報にはいずれも含まれていないものがある。それは、AIによって生成されたmalware。オペレーターたちは、言語処理、OSINT(公開情報収集)、コードの翻訳にAIを活用している。しかし、AIに新しい手法を考案させようとはしていない。また、それらのすべてが販売されているわけでもない。「何も機能しない。AIはでたらめなアドバイスばかりする」と、ジェントルメンの一員であるウィックは述べている。
4. EDRは回避されているのではなく、打ち破られている
2021年、コンティはフランスのペーパーカンパニーを設立し、約14,800ユーロ(為替手数料別途)でCarbon Black EDRを正規に購入しました。これは、Ryukチームが実際のライセンス済みmalware テストを行えるようにするためでした。これが調達でした。
2026年までに、「The Gentlemen」は、内部チャットで公表された手法――DRレジスタからのハードウェアブレークポイントの削除、クリーンなシステムコールスタブを用いたNTDLLのアンフック、およびETWのパッチ適用――を用いて、「ある有名ベンダー製のEDR」を悪用し、ロッカーを稼働させている。オペレーターのmAst3rによれば、このCrowdStrike対策ツールは「約5,000ドル」で入手可能だという。
Cobalt Strikeに代わって、カスタムC2フレームワークが採用された。Black Basta主任プログラマーであるYYは、2年をかけてこれを構築した ブレーカー、TCP/DNS/PING通信とRC4暗号化機能を備えたカスタムC2。ジェントルメンは独自の G-BOT コントロールパネル、これまでに報告されていなかったフレームワークで、ビーコンごとのSOCKS5トンネリングとビルダーへのアップロード機能を備え、 temp.sh そして 0x0.st.
5. ハイパーバイザーが新たな死角となった
Contiは当初、Windowsエンドポイントを標的としており、ESXiへの攻撃は後付けの目的だった。2026年の情報漏洩事件の時点で、The GentlemenはHyper-V Volume Managerを直接攻撃し、ハイパーバイザーレベルで暗号化を行うことで、「ゲストレベルのEDRやバックアップエージェント」が、保護対象のVMで何が起きているかを把握できないようにしていたことが記録されている。
その客には何もおかしいところが見当たらない。なぜなら、客の目には何も起こっていないように映るからだ。
進化しなかったもの
以下の5つの要素は、2022年と2026年の4件のリーク情報すべてに共通して登場しており、キルチェーンにおいて同じ役割を果たしています。
1. エッジでの認証に成功した
VulnCheckの分析によると、流出したチャット記録においてBlack Basta 言及したCVEは62件に上り、そのうち53件は実環境で悪用されていることが既に確認されており、44件はCISAの「既知の悪用済み脆弱性カタログ」に掲載されていた。全記録の中で最も多く言及されたCVEは、Palo Alto NetworksのPAN-OSzero-day CVE-2024-3400であった。 その他、頻繁に言及されたリストは、Citrix NetScaler、Atlassian Confluence、Microsoft、F5、Cisco、Fortinetといったエンタープライズエッジ製品が網羅されていました。オペレーターたちは、最初のアドバイザリが公開されてから数日以内に、これらのCVEについて議論し始めていました。
犯行グループは同じ手口を使い続けた。当初、システムへの主な侵入経路はフォーティネット製品であり、Rocket.ChatのログにはFortiGateに関する言及が81件あり、CVE-2024-55591(FortiOSの認証バイパス)も明示的に言及されていた。複数の被害者で共通して使用されていたブランド名のVPNパスワード: gentlemen25, 紳士たち25, gentle26. ハルシオン同グループによる別の分析によると、約1,000件のフォーティネット製VPNに対して総当たり攻撃が行われたことが記録されている。
これは、2021年以降の年次被害報告書のトップニュースを飾ってきた特定のベンダーカテゴリーに対し、再利用されたブランド名のパスワードを使用している、2026年のランサムウェアグループ第2位だ。監査ログは彼らをそのまま通過させてしまった。
Contiのチャットも同様の形式をとっている。SternがCVE-2020-5135(SonicWallスタックバッファオーバーフロー、CVSS 9.4)のスキャナーをリクエストすると、Ghost という名のオペレーターがそれをGhost 。彼らは、同じ製品ファミリーを調査するために、SonicWallのハードウェアを新品および再生品で購入した。
ベンダーは変わっても、カテゴリは変わらない。エッジIDが玄関口であり、認証は常に成功し続ける。
2. ブラウザに保存された認証情報は、依然としてパスワード管理ツールとしての役割を果たしている
「The Gentlemen」ツールキット: DumpBrowserSecrets、Chromeアプリ限定の暗号化・復号化、XenAllPasswordPro、Phemedrone Stealer V2.3.2、LummaC2.Black Basta によると、LummaC2はペイロードを %temp% そして、収集した認証情報を qwertyuio.txt AnyDeskのファイルマネージャー経由で。
認証情報はフィッシング攻撃によって盗まれているわけではありません。ユーザーがログインしてから1時間後に、ブラウザから読み出されているのです。監査ログはこれを問題視していませんでした。
3. VSSバックアップ内のNTDS.ditファイルは、依然としてドメイン乗っ取りを引き起こす
JA456(Gentlemen Part 2)には、Windows Server ドメイン コントローラーの VSS バックアップ メタデータ BLOB が含まれており、その内容は以下の通りです。 NTDSライター (b2014c9e) が参加しており、 バックアップ成功=はい、つまり ntds.dit また、トランザクションログもそのまま取得された。Ransom-ISACは次のように指摘している。「データ流出当時、すべてのドメインハッシュはZetaの手に渡っていた。」
それは2018年の問題であり、2026年になっても攻撃者が解決しようとしている問題だ。
4. Linux、ESXi、およびHyper-Vは依然として監視が不十分である
Gentlemen Linux/NAS ロッカーの呼び出しは、コーパスにそのまま記載されています: /opt/updateamd --password W8wNZteb --ultrafast --keep、拡張子を削除 .i8p14s そしてそのメモ README-GENTLEMEN.txt. 第2部のSynology NASのダンプには、オペレーターがrclone、MEGAcmd、および sc-rclone NAS上にサービスアカウントを直接作成し、その後、2026年1月3日から3月21日までの間にクルーアカウントを追加します。
このNASは、127TBもの盗まれたデータを保管する中継サーバーとして機能していたが、その運用はまるで自宅オフィスのファイル共有のように気楽なものであった。SOCがログを記録していないホスト間のデータ移動は、存在しないも同然である。
5. rclone から MEGA へのデータ流出パイプラインは依然として有効である
2020年、ContiのロッカーはBazarおよびIcedIDを経由して、独自のインフラストラクチャに展開された。2026年までに、The Gentlemenによるデータ流出経路は1本のみとなっており、これはJA456で確認できる: rclone → NAS (193.228.128.2:2222, ユーザー ダウンロード) → MEGA。6年間、同じパターンだ。正規のクラウドプロバイダーへの、一見正当なトラフィック。何もおかしいところはない。
検出機能は故障しているわけではありません。不完全なだけです。
60万件もの通信事業者の内部メッセージが流出した件を読むと、落ち込んだり、あるいは自分の考えが正しかったと確信したりしたくなるものだ。しかし、どちらの反応も本質を見失っている。
この情報漏洩は、防御側にとってさらに有益なものを提供した。それは、どの脆弱性を修正すべきかについて、一次情報による裏付けが得られたということだ。攻撃者たちは魔法使いではない。彼らは、Rocket.Chatのインスタンス、レンタルしたFortinetのエクスプロイト、そしてMEGAのアカウントを持つ、8人から20人の人間に過ぎない。彼らが成功するのは、2022年に有効だったのと同じ5つの脆弱性が、2026年になっても依然として有効だからである。
リーク情報によってすでに裏付けられた5つの動き:
- 流出したCVEリストに基づいて、エッジアプライアンスの監査を実施してください。CVE-2024-3400(PAN-OS)Black Bastaチャットで最も多く言及されていました。CVE-2024-55591(FortiGate認証バイパス)は、The Gentlemenのチャットにおいて、彼らの主要な侵入経路として挙げられています。 CVE-2025-32433(Erlang/OTP SSH RCE)およびCVE-2025-33073(NTLMリレー)は、同じツールキットに含まれています。Palo Alto、Fortinet、Citrix、F5、およびCiscoのエッジ機器におけるパッチ適用状況は、経営層レベルの指標となります。
- ブラウザの認証情報ストアを認証インフラストラクチャとして扱う。Phemedrone、LummaC2、およびChromeのアプリ限定暗号化・復号ツールは、ユーザーがすでにログイン済みであることを前提としている。検知ポイントは、サインインそのものではなく、エンドポイントにおける認証後の動作である。
- 本来は存在してはならないホスト上で、rclone、MEGAcmd、WinSCP、およびVelociraptorを探してください。これら4つはすべて、Gentlemenのコーパスにおいて、情報流出や横方向の移動を行うツールとして確認されています。特にVelociraptorは、本来は正当なDFIRツールですが、複数の被害者に対するC2(コマンド&コントロール)のために悪用されています。
- ハイパーバイザーレベルの可視性を確保しましょう。Hyper-V Volume Managerによる攻撃は、その設計上、ゲスト側のEDRを迂回します。ESXiも同様の状況にあります。検知がVMの境界で終わってしまうと、そこで検知は終わってしまいます。
- NTDS.ditへのアクセスを、単なるフォレンジック上の発見ではなく、セビリティ1(Sev-1)レベルのトリガーとして扱うこと。Contiのプレイブック、Black Basta 、およびGentlemen JA456のアーカイブはいずれも、ドメインコントローラーのバックアップ窃取が標準的な目的であることを裏付けている。この検知は、3週間後にパスワードのリセットが行われた時点ではなく、ファイルが操作された時点で発動しなければならない。
2026年にこの記事を読んでいるCISOの役割は、オペレーター自身が すでに2度も指摘している脆弱性を解消する ことです。 『Mind Your Attack Gaps』電子書籍 では、「Scattered Spider」、Volt Typhoon」、およびハイブリッドクラウドの侵害パターンを具体例として挙げながら、このフレームワークを最初から最後まで解説しています。