2026/06/12 4:23
ランサムウェアグループ「ザ・ジェントルメン」の運営者は誰なのか?
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
「Gentlemen」グループは、被害者数において本年第 2 に活発なランサムウェアグループとして特定されました。同グループは 2025 年中盤に活動を開始して以来、少なくとも 332 の被害者を獲得しており、そのうち 240 体以上は 2026 年に発生しています(これらを含みます)。同グループは特にインターネットへの接続があるデバイス(VPN やファイアウォールなど)を標的としており、侵害後数時間でネットワーク全体を暗号化する能力を有しています。急成長を図るため、同グループは業界標準を大幅に上回る収益分配比率 90/10 を提供する魅力的なアフィリエイトモデルを運用し、熟練したオペレーターを採用しています。リーダーは支払いの管理およびランサム代の 10% の受け取りを行い、ロシアのフォーラムでは「Zeta88」、Breachforums 上で「Hastalamuerte」という別名で使用されており、アレクサンドル・アンドレイビッチ・ヤパエフ氏(36 歳、イジェフスク出身)を指し示すアカウントおよびデジタル記録と関連付けられています。以前は 2019〜2020 年頃にテレグラムにおける浸透テストトレーニングを受講した未熟なハッカーだったリーダーは、現在では AI を活用してマルウェアツールを迅速に開発し、Fortinet SSL-VPN クレデンシャルなどのインフラに対するブルートフォース攻撃を行っており、その能力は向上しています。2025 年中盤以降、同グループは急速に拡大しており、今後において組織は数時間以内にネットワーク全体が暗号化する緊急なリスクに直面しています。そのため、脆弱性への即時の警戒と、自身のアフィリエイト採用チャネルに対する慎重な審査によるサプライチェーンリスクの軽減が求められます。
本文
サイバー犯罪集団「ザ・ジェントルメン」:管理者実名との疑点と調査の詳細
サイバー犯罪集団**「ザ・ジェントルメン(The Gentlemen)」**は、被害者数において第 2 の最活発なランサムウェア・ギャングとして浮上している。同グループが有能なハッカー層を急速に集め上げている要因とは何か?また、管理者が現実世界の特定個人と示唆される手掛かり(breadcrumbs)はあるのか?以下にまとめます。
1. グループの概要と収益モデルの革新
セキュリティベンダー チェックポイント・ソフトウェア(Check Point) の専門家による調査によると、以下の点が注目されています。
- RaaS モデルの特異な仕組み
- 「ランサムウェア・アズ・ア・サービス(RaaS)」において、被害者への支払いを通じて高待遇を提供する。
- アフィリエイトを積極的に引きつける攻めの採用方針を採用。
- 収益分配の優遇策
- 業界標準である 80/20 の収益分配に対し、90/10 の体制を導入(アフィリエイトへ身代金の 90% を保証)。
- これにより、競合プログラムからの有経験なオペレーターを惹きつけ、グループの成長を加速させている。
- 活動実績
- 2025 年中盤に結成されて以来、少なくとも 332 件の被害を公表。
- 同グループが第 2 の最も活発なランサムウェア・グループとなるまでになった。
- 単独で 240 件以上の被害が確認されている(主に 2026 年)。
2. 侵入手法と管理者の役割
同グループのバックエンドインフラへの侵害事案により、以下の行動様態が明らかになっている。
- 侵入経路
- インターネットに接続されている機器(VPN やファイアウォール等)を攻撃対象とする。
- 拡散速度
- 一旦侵入すれば、数時間以内にネットワーク全体を暗号化する。
- 管理者の機能
- 管理者はロッカー(暗号化ツール)と RaaS パネルを組み立てている。
- 支払いの管理および全プログラムの管理者として機能している。
- 身代金の 10%を受け取っている。
3. 管理者「Hastalamuerte / Zeta88」の実名調査
セキュリティインテリジェンス企業**インテル 471(Intel 471)とコンステーラ・インテリジェンス(Constella Intelligence)**の連携により、以下のような手がかりが発見された。
ユーザー情報の集約
| ニックネーム | アドレス/プラットフォーム | 発見した情報源 |
|---|---|---|
| Hastalamuerte (Zeta88) | Breachforums / Exploit / Ramp_V2 などの犯罪フォーラム | インテル 471 |
| イジェフスク(ウドムルト共和国)の IP アドレスから登録 | エピオス | |
| GitHub アカウント「SantaMuerte」関連付け | エピオス | |
| メールアドレス | | インテル 471 |
| メールアドレスと Apple アカウント、末尾"04"の電話番号紐付 | エピオス | |
| Telegram ID | ユーザー名: | フラッシュポイント |
別のユーザー名: | コンステーラ・インテリジェンス |
実名の特定プロセス
コンステーラによる調査で、以下の事実が判明した。
- 電話番号との関連性
- ロシア政府データベースのハッキングにより、番号
が割り当てられた人物を確認。79127650004 - **イジェフスク出身の 36 歳男性「アレクサンドル・アンドレヴィチ・ヤーパエフ(Alexander Andreevich Yapaev)」**と一致する。
- ロシア政府データベースのハッキングにより、番号
- ソーシャルメディア・アカウント
- ロシア SNS「Pikabu」でユーザー名
を使用。4apai18 - ウェブサイト複数誌で姓を「Ivanov」または「Chapaev」(ロシア語で数字 4 の発音に基づく略称)として登録している。
- ロシア SNS「Pikabu」でユーザー名
- 職業情報
- メールアドレス
を頻繁に使用。bu4vs@mail.ru - LinkedIn アカウント(氏名:Alexander Yapaev)に関連付けられ、以下と記載されている。
「ウラルエネルゴ・ウドムルティア社(ロシア最大の電気機器および照明製品のサプライヤーの一つ)のB2B マーケティング責任者」
- メールアドレス
4. なぜ実明かかれているのか?:背景と分析
読者が「なぜロシア出身の犯罪者が現実世界の身元を隠さないのか」と疑問に思いますが、以下の理由が考えられます。
- 意図的な非公開ではない可能性
- 大多数は当初から「特大犯罪者」になることを意図しておらず、スキルを広げながら徐々にその世界に引き込まれたケースが多い。
- ロシア政府の容認姿勢
- 国内資金移転や攻撃を行わない限り、サイバー犯罪活動を容認または無視してきた傾向がある。
- そのため、初期段階では国外渡航による逮捕回避のための足跡隠蔽が優先度低かった。
- キャリア初期のセキュリティ未熟さ
- 基礎的なオペレーションセキュリティのミスを犯しやすい。
- ノウハウ不足と不注意により、リスクが高い状態になっていた。
- 早期投稿(2019〜2020 年)から、ルールを学びながら評価を得ようとする素朴なハッカーの姿がうかがえる。
5. 最新アップデート:AI 活用と技術的詳細
脅威リサーチ組織 PRODAFT が公開したレポートによると、以下の新たな発見があります。
- 運用体制の確認
- 管理者(Zeta88/Hastalamuerte)がアフィリエイトに初期アクセス権を直接提供している体制が確認された。
- ブルートフォース攻撃やグループ自らのアリーナデータベースから得られた Fortinet SSL-VPN 資格情報を提供中。
- AI の活用
- ランサムウェアおよび関連ツールの開発・維持において AI を活用。
- インシデント発生後の対応活動(post-exploitation)においてもAI が支援に当たっている。
- 確実性の評価
- PRODAFT は、自らの分析結果が管理者像と「高い確度」で一致すると指摘している。
※参考:更新情報では 2024 年 6 月 11 日(ET)の時点で、PRODAFT の詳細なレポートに基づいた新たな知見が追加されました。