企業動向

新興ランサムウェア「The Gentlemen」が攻撃件数で首位に、Qilinを上回る──Halcyonが6月動向レポート発表


Halcyon Japanは2026年6月のランサムウェア動向レポート「ROC STARレポート」を公開し、新興グループ「The Gentlemen」が攻撃件数で最多となったことを明らかにしました。年初来で初めて首位が交代し、ランサムウェア脅威の多様化が鮮明になっています。

「The Gentlemen」が攻撃件数で最多に

6月の攻撃件数ランキングでは、「The Gentlemen」が73件で最多を記録しました。「Qilin」は72件で2位に後退しています。また、3位には「LockBit」が57件で新たにランクインするなど、トップ15のうち7グループが前月からの新規参入でした。これは、少数の強力なグループに攻撃が集中していた時期から、多くのグループが乱立して次々に現れる時期へと変化していることを示唆しているといいます。企業は特定の有名グループだけでなく、広範な脅威への対策が必要であると指摘されています。

新興グループ「The Gentlemen」の実態

「The Gentlemen」は2025年8月に登場したばかりのグループです。Halcyonのランサムウェアリサーチセンターによると、もとは今回2位となったQilinのアフィリエイト(提携する実行犯)でした。しかし、収益分配を巡る対立から2025年半ばに独立したとされます。同グループは、ランサムウェアを他の攻撃者に「サービス」として貸し出すRaaS(Ransomware-as-a-Service)の形態をとり、活動開始から1年足らずで月間の攻撃件数で上位に数えられるほど攻撃を拡大させてきました。6月には、かつての親元であるQilinを上回る攻撃を行った形です。

同グループの手口は多岐にわたります。Windows、Linux、VMware ESXi、BSD、NASなど多様な環境を標的とし、盗んだ認証情報を足がかりに、正規のドライバーやWindowsの管理機能(GPO)を悪用して社内へ一気に暗号化を広げるといいます。主な標的は製造業ですが、技術、医療、金融サービスにも及び、被害はこれまで60カ国以上で確認されています。Halcyonは同グループの危険度を10段階中8(High)と評価しており、ルーマニアのサイバーセキュリティ当局は、この集団の活動についてロシアの国家的利益との関連を指摘しているとされます。

詳細情報はHalcyonのランサムウェアリサーチセンターで確認できます。

正規ツールの悪用と製造業への集中攻撃

6月にHalcyon ROCが実際に対処した事例のひとつとして、PDFファイルに見せかけた不正なプログラム(Rugmiローダー)が実行直前にブロックされたことが報告されています。ファイル名の文字並びを逆に見せる手法(RLO)で実行ファイルをPDF文書に偽装し、正規のベンダーが署名した正規ファイルを悪用して不正なコードを読み込ませる、手の込んだ手口だったといいます。

攻撃の起点は、多くの場合、正規ツールの悪用からであるとされています。6月に最も多くの組織で悪用されたのも、先月に続いてリモート監視・管理(RMM)ツールでした。ConnectWise/ScreenConnect、AnyDesk、LogMeIn/GoTo、Splashtopの4製品だけで、700を超える組織が影響を受けたといいます。RMMツールは本来、IT管理者が機器を遠隔で運用するための正規のソフトウェアですが、これを攻撃者が使うと、マルウェアと見なされにくい形で遠隔操作の足場を築くことが可能になります。

業種別では、6月も製造業がランサムウェア攻撃件数で最も多く狙われ、151件の攻撃が確認されました。その数は、2位から4位を足しても届かない規模です。もっとも、ランキングの顔ぶれは今月大きく動いており、建設業、小売、ソフトウェアが順位を上げ、運輸、政府機関、金融が新たにトップ10に入っています。製造業が狙われ続ける理由としては、工場が止まれば生産も売上もその場で止まるため、迅速な復旧への圧力がかかること、取引先とシステムがつながっているために一社の被害が供給網をたどって連鎖すること、加えて生産設備(OT環境)には古いシステムが残り攻撃の入口になりやすいことなどが挙げられています。

被害を未然に防ぐHalcyonの対策

Halcyonのデータでは、6月に観測した攻撃の99.0%を、初期アクセスや偵察、横展開といった初期の段階で阻止したとされています。暗号化やデータの窃取を試みる段階まで進んだものは、0.1%に届かなかったといいます。攻撃を入口で食い止められれば、事業は停止せずに済むという考え方です。Halcyonは、攻撃の準備段階から暗号化の直前まで各段階に防御を張り、多くの製品が見落とす手口も捉えるとしています。初動は24時間365日体制のROCが代行し、身代金の支払いやダウンタイムの発生リスクを抑えるとしています。

これらの対策により、6月に攻撃を止めたことで防いだ被害額は、推計で1億3,100万ドル(約210億円、1ドル=160円で換算)を超えると試算されています。

Halcyon Japanのカントリーマネージャーである露木 正樹氏は、「ランサムウェアの脅威は、毎月のように顔ぶれも手口も変わる」と指摘。「年初来ずっと最も攻撃の多かったグループが初めて交代し、名前も知らないグループが次々に上位へ現れた。特定の有名なグループだけを警戒していれば済む時代は、終わった」と述べ、誰が攻撃してくるかを先回りで当てるのは現実的ではないとし、「日本企業を守る鍵は、相手が誰であっても攻撃を入口で止めることに尽きる」と強調しました。

Halcyonについて

Halcyon, Inc.は、ランサムウェア対策に特化した米国のサイバーセキュリティ企業です。同社のプラットフォームは、既存のEDR(エンドポイント検知・対応)製品やセキュリティ運用体制(SOC)を補完する独立したレイヤーとして機能し、ランサムウェアによる暗号化や事業停止を阻止するといいます。日本法人であるHalcyon Japan株式会社は、業種・規模を問わずランサムウェア対策を必要とするすべての国内企業に対し、プラットフォームの提供と導入支援を本格化しています。

公式サイト:

ソース元

ページトップへ戻る
×