GentlemenランサムウェアのEDRキラー戦術と企業防衛の実務

近年、ランサムウェア攻撃は単なるデータ暗号化から、データ窃取と脅迫を組み合わせた二重恐喝に進化している。そんな中、Gentlemenと呼ばれるランサムウェア・アズ・ア・サービス（RaaS）グループが、防御側のセキュリティソリューションを無効化する専用ツール「GentleKiller」を開発・運用していることが明らかになった。このツールは、カーネルレベルの特権昇格とセキュリティプロセスの停止を通じて、攻撃の初期段階で防御機構を無力化する。特に、400以上のセキュリティ関連プロセスを標的とすることで、主要なEDR（Endpoint Detection and Response）製品をはじめとするセキュリティベンダーのソリューションを回避する仕組みとなっている。本稿では、GentleKillerの技術的特徴、攻撃手法、そして企業が取るべき具体的な防衛策について解説する。

Gentlemenランサムウェアグループの台頭とRaaSモデル

Gentlemenは、ランサムウェア攻撃をサービスとして提供するRaaS（Ransomware-as-a-Service）の形態を採用しているグループの一つだ。RaaSモデルでは、技術的な専門知識を持たない攻撃者（アフィリエイト）であっても、グループが開発したランサムウェアや攻撃ツールを利用して攻撃を実行できる。これにより、攻撃のハードルが大幅に低下し、ランサムウェア攻撃の頻度と規模が拡大している。Gentlemenグループは、特に企業ネットワークへの侵入とラテラルムーブメント（横展開）に重点を置いており、高い収益性を追求している。

このグループの特徴の一つが、攻撃の検知回避に特化したツールの開発と運用だ。具体的には、EDR（Endpoint Detection and Response）やアンチウイルスソフトウェアなどのセキュリティソリ脅威グループは、標的とする企業の規模や業種に応じた柔軟な攻撃戦術を採用している。例えば、大手企業を狙う場合には、GentleKillerをはじめとする複数のEDRキラーを組み合わせて使用し、防御機構を徹底的に無効化する。一方で、中小企業を狙う場合には、よりシンプルな攻撃手法を用いることで、迅速な攻撃と身代金の獲得を目指す。このような柔軟性が、Gentlemenグループの攻撃成功率を高めている要因の一つと考えられる。

また、Gentlemenグループは、攻撃の成功率をさらに高めるために、複数の外部ツールも活用している。例えば、Rustで開発された「OxideHarvest」と呼ばれるツールは、資格情報の窃取に特化した機能を持ち、攻撃者がネットワーク内で特権を奪取する際に利用される。これらのツールは、GentleKillerと組み合わせることで、攻撃の初期段階からランサムウェアの展開まで、一貫した攻撃フローを実現する。このように、Gentlemenグループは、技術的な進化と柔軟な攻撃戦術を組み合わせることで、ランサムウェア攻撃の脅威をさらに高めている。

EDRキラー「GentleKiller」の技術的詳細

GentleKillerは、Gentlemenランサムウェアグループが独自に開発したEDRキラーであり、少なくとも8つの亜種が存在する。これらの亜種は、Kaspersky、Valorant、Javelin、WatchDogなどの正規のセキュリティ製品を偽装することで、攻撃者の意図を隠蔽する。例えば、GentleKillerの亜種の一つは、Kasperskyの正規ドライバを模倣した名前を使用し、カーネルレベルでの特権昇格を試みる。これにより、攻撃者はセキュリティソフトウェアを無効化し、ランサムウェアの展開やデータの暗号化を妨害されない環境を整えることができる。

GentleKillerの主な機能は、カーネルレベルでの特権昇格とセキュリティプロセスの停止にある。具体的には、攻撃者は「Bring Your Own Vulnerable Driver（BYOVD）」と呼ばれる技術を利用して、既知の脆弱性を持つドライバをロードし、カーネルレベルの特権を奪取する。この技術は、正規のドライバが持つ脆弱性を悪用することで、攻撃者がシステムに深刻なダメージを与えることを可能にする。GentleKillerは、この技術を活用することで、セキュリティソフトウェアのプロセスを停止させ、攻撃の検知を回避する。

さらに、GentleKillerの亜種は、共通の文字列、同一のコード難読化技術、類似したプロセスキルロジックを持ち、400以上のセキュリティ関連プロセスを標的としている。具体的には、Microsoft、CrowdStrike、SentinelOne、Palo Alto、Sophos、Trend Micro、ESET、Bitdefender、McAfee/Trellix、Kasperskyなど、主要なセキュリティベンダーの製品が標的とされている。このような包括的な標的リストは、攻撃者があらゆるセキュリティ製品を無効化することを目指していることを示している。また、GentleKillerのフレームワークは、新たに発見された脆弱性を活用するために、ドライバの入れ替えやコードの変更を容易にする設計となっている。これにより、攻撃者は常に最新の脆弱性を活用した攻撃を実行することが可能となっている。

攻撃フローにおけるGentleKillerの役割

GentleKillerは、ランサムウェア攻撃の初期段階で使用されることが多い。攻撃者は、まずネットワークへの侵入に成功すると、ローカルの特権昇格を試みる。この段階でGentleKillerが使用され、セキュリティソフトウェアのプロセスが停止される。これにより、攻撃者はラテラルムーブメントやデータ窃取を実行する際に、検知されるリスクを大幅に低減することができる。

例えば、攻撃者が企業ネットワークに侵入した後、GentleKillerを実行すると、セキュリティソフトウェアのプロセスが強制的に停止される。この状態では、EDRやアンチウイルスソフトウェアが機能しなくなるため、攻撃者は自由にネットワーク内を移動し、重要なデータを窃取したり、ランサムウェアを展開したりすることができる。特に、ランサムウェア攻撃の最終段階では、データの暗号化が実行されるが、この際にもGentleKillerによってセキュリティソフトウェアが無効化されているため、攻撃はスムーズに進行する。

また、GentleKillerは、攻撃の痕跡を隠蔽する機能も備えている。例えば、攻撃者はGentleKillerを使用して、セキュリティソフトウェアのログを削除したり、改ざんしたりすることで、攻撃の検知をさらに困難にする。このような機能は、攻撃者が長期間にわたってネットワーク内に潜伏し、データを窃取し続けることを可能にする。このように、GentleKillerは、ランサムウェア攻撃の成功率を高めるための重要な要素となっている。

外部ツールとの連携：OxideHarvestとその他のツール

Gentlemenグループは、GentleKillerだけでなく、複数の外部ツールも攻撃に活用している。例えば、OxideHarvestと呼ばれるツールは、Rustで開発された資格情報窃取ツールであり、攻撃者がネットワーク内で特権を奪取する際に使用される。このツールは、特にActive Directoryなどの認証システムを標的とし、管理者権限を奪取することで、攻撃の範囲を拡大する。

また、Gentlemenグループは、無効化されたセキュリティソフトウェアの代替として、他のEDRキラーも使用している。これらのツールは、GentleKillerと組み合わせることで、攻撃の冗長性を高め、防御機構の回避を確実なものにする。例えば、一部の攻撃では、GentleKillerが検知された場合でも、別のEDRキラーがバックアップとして機能し、攻撃を継続することができる。このように、複数のツールを組み合わせることで、攻撃の成功率をさらに高めている。

さらに、Gentlemenグループは、正規のソフトウェアから窃取したデジタル署名を悪用することもある。これらの署名は、攻撃者が作成した悪意のあるファイルを正規のソフトウェアとして偽装するために使用される。例えば、攻撃者は、窃取した署名を使用して、GentleKillerやその他のツールを正規のファイルとしてシステムにインストールする。これにより、セキュリティソフトウェアによる検知を回避することが可能となる。このような技術は、攻撃者がシステムに侵入する際の障壁を大幅に低減するため、非常に危険な手法と言える。

企業が取るべき具体的な防衛策

GentleKillerのようなEDRキラーがもたらす脅威に対抗するためには、企業は多層的なセキュリティ対策を講じる必要がある。まず、最も重要な対策の一つが、ソフトウェアとシステムのアップデートの徹底だ。攻撃者は、既知の脆弱性を悪用してシステムに侵入するため、ベンダーから提供されるセキュリティパッチを迅速に適用することが不可欠である。特に、ドライバやカーネルレベルのコンポーネントに関する脆弱性は、攻撃者にとって魅力的な標的となるため、これらのアップデートは優先的に実施する必要がある。

次に、EDRやアンチウイルスソフトウェアの設定を見直すことも重要だ。例えば、一部のセキュリティ製品では、デフォルトの設定が攻撃者にとって有利な状況を作り出すことがある。そのため、企業はセキュリティ製品の設定をカスタマイズし、攻撃者による無効化を困難にする対策を講じる必要がある。具体的には、プロセスの監視強化や、異常な挙動を検知した際の自動対応機能の強化などが挙げられる。

さらに、ネットワーク分離やアクセス制御の強化も有効な対策の一つだ。攻撃者は、ネットワーク内を自由に移動することで、被害を拡大させるため、ネットワークをセグメント化し、重要なシステムへのアクセスを制限することが重要である。また、多要素認証（MFA）の導入や、特権アカウントの管理強化なども、攻撃者による資格情報の窃取や特権の奪取を防ぐために有効である。これにより、攻撃者がネットワーク内で活動を続けることが困難になり、被害の拡大を防ぐことができる。

インシデント対応とフォレンジックの重要性

万が一、GentleKillerによる攻撃を受けた場合、迅速かつ的確なインシデント対応が求められる。まず、攻撃の検知後、直ちにネットワークを隔離し、さらなる被害の拡大を防ぐことが重要だ。次に、フォレンジック調査を実施し、攻撃の経路や使用されたツール、侵入されたシステムの特定を行う。この調査により、攻撃の全容を把握し、再発防止策を講じることができる。

フォレンジック調査では、ログの分析が特に重要となる。例えば、セキュリティソフトウェアのログやネットワークトラフィックのログを分析することで、攻撃者の挙動や使用されたツールを特定することができる。また、メモリフォレンジックを実施することで、攻撃者が使用したマルウェアやツールの痕跡をメモリ上から検出することも可能だ。これにより、攻撃の全容を明らかにし、再発防止策を講じるための貴重な情報を得ることができる。

さらに、インシデント対応の際には、外部の専門家やセキュリティベンダーとの連携も検討すべきだ。例えば、ランサムウェア攻撃の専門家やフォレンジック調査の専門家と協力することで、攻撃の分析や復旧作業を迅速に進めることができる。また、攻撃の詳細を公表することで、他の企業に対する注意喚起を行うことも重要だ。これにより、同様の攻撃の被害を未然に防ぐことができる。

今後の動向と長期的なセキュリティ戦略

GentleKillerのようなEDRキラーが進化を続ける中、企業は長期的なセキュリティ戦略を策定する必要がある。まず、セキュリティ製品の選定においては、EDRキラーに対する耐性や検知機能の強化を重視することが重要だ。例えば、一部のセキュリティベンダーは、EDRキラーによる攻撃を検知するための専用機能を導入しており、これらの製品を活用することで、攻撃のリスクを低減することができる。

また、従業員に対するセキュリティ意識の向上も不可欠だ。ランサムウェア攻撃の多くは、フィッシングメールや悪意のあるリンクを通じて行われるため、従業員がこれらの脅威を認識し、適切な対応を行うことが重要である。定期的なセキュリティトレーニングやシミュレーション演習を実施することで、従業員のセキュリティ意識を高め、攻撃のリスクを低減することができる。

さらに、セキュリティの専門家を育成し、社内にセキュリティチームを編成することも有効な対策の一つだ。例えば、社内にCSIRT（Computer Security Incident Response Team）を設置し、インシデント対応の体制を整備することで、攻撃の検知から復旧までを迅速に行うことができる。また、セキュリティの専門家を雇用することで、最新の脅威動向や攻撃手法に関する知識を社内に蓄積し、より効果的なセキュリティ対策を講じることができる。

規制と法的対応の強化

ランサムウェア攻撃の被害が拡大する中、政府や規制当局も対策を強化している。例えば、一部の国では、ランサムウェア攻撃の被害届の義務化や、身代金支払いの制限などを導入しており、攻撃者に対する抑止力を高めている。企業は、これらの規制や法的対応を遵守するだけでなく、積極的に協力することで、ランサムウェア攻撃の被害を最小限に抑えることができる。

また、ランサムウェア攻撃の被害を受けた場合には、速やかに関係当局に報告することも重要だ。例えば、警察やサイバーセキュリティ庁に被害を報告することで、攻撃の調査や被害の拡大防止につながる可能性がある。さらに、攻撃の詳細を公表することで、他の企業に対する注意喚起を行うことも重要だ。これにより、同様の攻撃の被害を未然に防ぐことができる。

まとめ：GentleKillerの脅威と企業の対策

GentlemenランサムウェアグループによるEDRキラー「GentleKiller」の活用は、ランサムウェア攻撃の新たな段階を示している。このツールは、カーネルレベルでの特権昇格とセキュリティプロセスの停止を通じて、攻撃者が防御機構を無効化し、ランサムウェアを展開することを可能にする。さらに、Gentlemenグループは、複数の外部ツールや窃取したデジタル署名を活用することで、攻撃の成功率をさらに高めている。

企業がこのような攻撃に対抗するためには、ソフトウェアのアップデート徹底、セキュリティ製品の設定見直し、ネットワーク分離やアクセス制御の強化など、多層的なセキュリティ対策を講じる必要がある。また、インシデント対応の迅速化やフォレンジック調査の実施、従業員のセキュリティ意識向上なども重要な対策となる。長期的には、セキュリティ製品の選定や専門家の育成、規制や法的対応の強化など、包括的なセキュリティ戦略を策定することが求められる。

ランサムウェア攻撃の脅威は今後も進化を続けるため、企業は常に最新の脅威動向を把握し、適切な対策を講じることが重要だ。GentleKillerのようなEDRキラーがもたらすリスクを理解し、実務的な防衛策を講じることで、企業はランサムウェア攻撃の被害を最小限に抑えることができるだろう。