GentlemenランサムウェアグループがRaaS(Ransomware as a Service)の形態で、独自開発の「GentleKiller」を含む複数のEDR(エンドポイント検知・応答)キラーツールを積極的に整備・更新していることが、ESETの調査で明らかになった。標的となるセキュリティ製品は約48社・400プロセス以上に及ぶ。

EDRキラーとは何か、なぜ危険なのか

EDRキラーとは、セキュリティ製品のプロセスを強制終了・無効化するツールだ。ランサムウェア攻撃では「まず目と耳をつぶす」のが常套手段であり、EDRを沈黙させることで、データ窃取や暗号化処理を検知されることなく実行できるようになる。

Gentlemenグループが使う主力ツール「GentleKiller」は現時点で8種類以上のバリアントが確認されている。各バリアントはKaspersky、Valorant、Javelin、WatchDogといった正規製品・ゲームクライアントに擬装しており、外見だけでの判断が難しい。

BYOVDで「カーネル」に直接侵入

GentleKillerが採用している技術が BYOVD(Bring Your Own Vulnerable Driver) だ。Windowsカーネルへのアクセス権を持つ正規ドライバーのうち、既知の脆弱性を持つものを攻撃者自身が「持ち込み」、それを悪用してカーネルレベルの権限を獲得する。

ESETの分析によれば、バリアントごとに異なる脆弱なドライバーを使用しているものの、コード難読化手法・プロセス終了ロジック・標的スコープは共通している。「ドライバーだけ差し替えれば新たな脆弱性にすぐ対応できる」設計になっており、攻撃者側のアップデートコストが極めて低い点が脅威を持続させている。

標的には Microsoft、CrowdStrike、SentinelOne、Palo Alto、Sophos、Trend Micro、ESET、Bitdefender、McAfee/Trellix、Kaspersky を含む約48社が並ぶ。著名なEDRのほぼすべてが対象に入っていると考えていい。バイナリはEnigma・Themidaという商用プロテクターで保護され、無効化された盗用デジタル署名を付与することで正規ソフトに見せかける工夫も施されている。

外部ツールの組み合わせで「多層冗長化」

GentleKiller以外にも、他グループが使ってきたEDRキラーを取り込んでいる:

  • HexKiller — かつてWarlockギャングが使用
  • ThrottleBlood — MesudaLockerおよびDragonForce攻撃に関連
  • HavocKiller — 複数のランサムウェアオペレーションで確認

さらにRust製のクレデンシャル窃取ツール OxideHarvest も使用されており、ESETはプログラミング言語の選択から外部委託品と推定している。これらを組み合わせる理由としてESETは「冗長性の確保」「アトリビューション(攻撃者特定)の複雑化」「GentleKillerが効きにくいケースへの対応」の3点を挙げる。

FortiGate設定を標的のフィルタリングに利用

Gentlemenグループは被害者のFortiGateエンドポイント設定を基に攻撃対象を選定していることも判明している。これは最近発覚した「FortiBleed」——約7万4,000件のFortiGate VPN認証情報漏洩——との連鎖で特に注目に値する。すでにルーマニアのエネルギー事業者Olteniaへの侵害や、1,570台以上の企業被害ホストを抱えるSystemBCプロキシボットネットとの関連も報告されている。

実務への影響

日本のエンジニア・IT管理者が今すぐ確認すべき点を整理する。

1. 脆弱なドライバーのブロックリスト適用 Microsoftは「Microsoft脆弱ドライバーブロックリスト」を提供している。Windows 11ではデフォルト適用済みだが、Windows 10環境やエンタープライズのポリシー設定は手動確認が必要だ。

2. FortiGate VPN認証情報の即時ローテーション FortiBleedの影響を受けた可能性がある環境では、認証情報のローテーションと多要素認証の強制を最優先で実施すること。

3. EDRの「自己保護機能(Tamper Protection)」を有効化 プロセス終了を防ぐ自己保護機能が無効化されていないか確認する。

4. カーネルレベルの変化をSIEMで監視 ドライバーの新規ロードやカーネルモジュールの変更を検知するルールを追加する。BYOVDツールはここに必ず足跡を残す。

5. ネットワークセグメンテーションの徹底 感染後の横展開を遅らせるために、セグメンテーションとゼロトラストモデルの適用を加速させたい。

筆者の見解

このニュースを読んでまず思ったのは「EDRだけに頼るのがそもそも設計の誤りだ」という点だ。GentleKillerのフレームワーク設計は明快で、「どんなEDRも殺せるよう拡張可能」な構造を持ち、特定製品への依存を根本から崩しにくる。48社が標的リストに並んでいるという事実は、「有名なEDRを入れていれば安心」という前提を否定している。

BYOVDへの対抗はエンドポイント単体では完結しない。ネットワーク層・認証層・カーネル整合性の監視を組み合わせた多層防御が前提になる。「EDRが止まったら終わり」という構成はもはやリスクとして許容できない段階に来ている。

FortiGate設定情報をターゲティングのフィルタリングに使うという手口も示唆に富む。FortiBleedのような大規模な認証情報漏洩が、後続のランサムウェア攻撃の「被害者選別フィルター」として機能しているわけだ。単体インシデントで終わらない連鎖を前提にした防御計画が必要で、「ドライバーをブロックするか」という問いより「カーネルに何が入ってくるかを常時可視化できているか」という問いに立ち返ることが、今の防御設計に求められていると感じる。

出典: この記事は Gentlemen ransomware uses multiple EDR killers to disable defenses の内容をもとに、筆者の見解を加えて独自に執筆したものです。