Gentlemenランサムウェアがソジャ・デ・ポルトガルを攻撃、491GBを漏洩

Gentlemenランサムウェアがソジャ・デ・ポルトガルを攻撃、491GBを漏洩

Gentlemenランサムウェアグループが、ポルトガル有数の農業企業であるソジャ・デ・ポルトガルへの攻撃の犯行声明を出し、491GBの機密企業データが流出した。DeXposeの報道によると、流出したデータにはSAPシステムの記録、従業員情報、財務文書が含まれている。元の記事には2026年6月4日という日付が記載されているが、これは報道ミスか未来の日付が付与されたものとみられる。読者はこの特定の日付の正確性が独自に確認できないことに注意が必要だが、複数の脅威情報源がこの侵害自体を最近の出来事として裏付けている。

今回の事件は、ランサムウェア・アズ・ア・サービス（RaaS）として活動するThe Gentlemenによる攻撃リストに新たに加わるものだ。研究者によれば、このグループは2025年後半に公に出現し、以来、複数の業界や国にまたがる数百の被害者を主張している。

The Gentlemenとは何者か、なぜ効果的なのか

The Gentlemenグループは、ランサムウェア・アズ・ア・サービス（RaaS）プラットフォームとして活動している。つまり、中核的な開発者が自らのマルウェアとインフラを、個別のキャンペーンを実行する提携攻撃者にライセンス供与する形態だ。このモデルはサイバー犯罪者への参入障壁を下げ、捜査機関による攻撃者特定をより複雑にする。

このグループを旧来のランサムウェア活動と差別化するのは、一貫して二重の恐喝を用いる点だ。被害者のデータを暗号化するだけでなく、暗号化を実行する前にデータを外部に持ち出す。つまり、堅牢なバックアップ手順を持つ組織であっても、身代金を支払わなければ盗まれたデータが公開または売却されるという第二の脅威に直面する。ソジャ・デ・ポルトガルのケースでは、グループはその脅迫を実行したと見られ、491GBが公開されたか、彼らの流出インフラを通じてアクセス可能になったと報じられている。

研究者は、The GentlemenのツールキットがWindows、Linux、ESXiハイパーバイザー、NASデバイスを標的にしていることを指摘しており、従来のオフィスネットワークから仮想化データセンターまで、幅広いビジネス環境を混乱させる能力がある。

流出したデータとその重要性

ソジャ・デ・ポルトガルの侵害に関与したデータカテゴリーは慎重に検討する価値がある。SAPデータは特に重要だ。SAPは大企業がサプライチェーンや調達から給与計算、経理まですべてを管理するために使用するエンタープライズリソースプランニング（ERP）プラットフォームである。SAPデータの侵害は、ベンダー契約、価格体系、内部の財務予測、従業員の報酬詳細を一か所で露出させる可能性がある。

今回の侵害で確認されたもう一つのカテゴリーである従業員記録には、通常、氏名、識別番号、連絡先詳細、時には給与支払い用の銀行口座情報が含まれる。このデータが流出すると、組織自体だけでなく、個々の労働者に二次的なリスクをもたらす。

このように企業のビジネスシステムを標的とするパターンは、今回の攻撃に限ったことではない。Ampex Data SystemsへのPlayランサムウェア攻撃のような類似の事件は、攻撃者が身代金の交渉材料と犯罪市場での転売価値の両方を持つという理由から、従業員の個人識別情報や財務記録を含む高価値データストアを優先する方法を示している。

農業や製造業の企業は、しばしばレガシーな運用技術とモダンなエンタープライズソフトウェアを混在させて稼働しているため、インフラをより最近構築した組織に比べて攻撃対象領域が広く、不均一になりがちで、ますます魅力的な標的となっている。

境界防御だけでは不十分な理由

こうした事件から得られる最も重要な教訓の一つは、ファイアウォール、アンチウイルスソフトウェア、ネットワーク監視といった従来の境界防御は必要だが不十分だということだ。The Gentlemenグループや類似の活動は、フィッシングキャンペーン、露出したリモートデスクトッププロトコル（RDP）ポート、侵害された認証情報を通じて初期アクセスを獲得することで知られている。一度ネットワーク内部に侵入すると、ランサムウェアを展開する前に多くの場合、数日から数週間かけて横方向に移動する。

これが、セキュリティ専門家が組織のセキュリティに重層的なアプローチをますます提唱する理由である。最も効果的な層には次のようなものがある。

• ゼロトラストネットワークアクセス: ネットワーク境界内部のすべてのデバイスやユーザーを信頼するのではなく、ゼロトラストアーキテクチャは、あらゆるリソースへのアクセスを許可する前に、アイデンティティとデバイスの健全性の継続的な検証を要求する。
• 暗号化されたリモートアクセス: VPNや類似のツールは転送中のデータを保護し、特にリモートやハイブリッドワーカーが機密システムにアクセスする際に、保護されていない接続での認証情報傍受のリスクを低減する。
• ネットワークセグメンテーション: SAPのようなシステムを一般従業員のワークステーションから隔離しておくことで、攻撃者が最初の足がかりを得た後に横方向へ移動する能力を制限する。
• エンドポイント検出および対応（EDR）: レガシーなアンチウイルスと異なり、EDRツールは、マルウェアが展開される前であっても、攻撃者がネットワーク内部で活動している可能性を示す行動の異常を監視する。

オランダでのChipSoftランサムウェア攻撃は同様の失敗パターンを示した。攻撃者は、内部システムが十分にセグメント化されておらず、アクセス制御が最初の侵入を封じ込めるほど細分化されていなかったため、大量のデータにアクセスし、持ち出すことができたのだ。

これがあなたにとって意味すること

あなたの組織が多国籍企業であれ、ソジャ・デ・ポルトガルのような地域企業であれ、リスクの計算は変化した。RaaSモデルを持つランサムウェアグループは、価値あるデータが存在するあらゆるセクターを標的に、大規模に攻撃を展開できる。農業企業、物流企業、製造業は、これまで自分たちを高価値標的とは見なしてこなかったかもしれないが、ERPやHRシステムに保持するデータは別の物語を語っている。

組織がリスクを軽減するために取れる具体的なステップを以下に示す。

• リモートアクセスポイントの監査: インターネットに面したすべてのサービス、特にRDPやVPNゲートウェイを特定し、多要素認証と定期的に更新される認証情報で保護されていることを確認する。
• 最小権限アクセスの実装: 従業員とシステムは、本当に必要なデータとアプリケーションにのみアクセスできるべきである。広範なアクセス権は侵害後の横移動を加速させる。
• バックアップのテスト: オフラインまたは不変のバックアップは暗号化型ランサムウェアに対する重要な防御策だが、定期的にテストされ復元可能であることが確認されていなければ意味がない。
• データ分類と保存時の暗号化: 最も機密性の高いデータを把握し、社内に保存されている場合でも暗号化することで、攻撃者にとっての流出ファイルの価値を制限する。

ソジャ・デ・ポルトガルの侵害は、それが例外的だからではなく、ますます典型的になりつつあるからこそ有用なケーススタディである。ランサムウェア攻撃が企業データを大量に暴露し続けている中で、最も健闘する組織は、セキュリティを一度限りの投資ではなく継続的なプロセスとして扱う組織だ。現在、アクセス制御、ネットワークアーキテクチャ、インシデント対応計画を見直すことは、後日491GBのデータ漏洩を管理するよりもはるかに低コストですむ。