はじめに
こんにちは、MooseLoveです。
最近、脅威インテリジェンスに興味が湧いており、何か面白そうなものはあるかなとMalwareBazaarを眺めていたところ、とあるファイルを発見しました。
という訳で、今回は README-GENTLEMEN.txt と呼ばれるランサムノートを分析し、得た知見を紹介していきたいと思います。
実際の脅迫文や脅威アクターが交渉に使用しているサービス、心理誘導の具体的な手順など、なかなか面白い内容でしたので、最後まで見ていただけると幸いです。
自己紹介
- 20歳 情報系の大学に通っている大学3年生
- 情報処理安全確保支援士試験 合格(登録セキスペには未登録)
- Python Java HTML CSS PHP C くらいならなんとかギリわかる
卒業論文のテーマに絶賛迷い中です。
MalwareBazaarとは?
MalwareBazaar は、マルウェア検体や関連情報を共有するプラットフォームです。
サンプル本体だけでなく、今回のようなランサムノート単体が登録されていることもあります。
実際にダウンロード出来てしまうので、興味がある方は念のため仮想環境で行いましょう。
間違えてホスト環境でシングルクリックしちゃってEXE実行しちゃった...なんてことが起きたら笑えません。
完全自己責任でお願いします!
マルウェアノートとは?
マルウェアノート(ランサムノート)は、攻撃者が被害端末に残す脅迫文です。
主に次の情報が含まれます。
- 連絡手段(Tox、メール、onionサイトなど)
- 支払い/交渉期限
- データ公開に関する脅し
- 復旧行為を妨害する心理誘導
技術情報というより、交渉を有利に進めるための心理戦テキストという側面が強いです。
焦らせて身代金を支払わせる、人間の脆弱性を突いた巧妙な仕組みですね。
README-GENTLEMEN.txt の内容
実際の文面(抜粋)は次のような内容でした。
xxxxxxxxx = YOUR ID(伏せますが、実際のID名)
Gentlemen, your network is under our full control.
All your files are now encrypted and inaccessible.
1. Any modification of encrypted files will make recovery impossible.
2. Only our unique decryption key and software can restore your files.
Brute-force, RAM dumps, third-party recovery tools are useless.
It’s a fundamental mathematical reality. Only we can decrypt your data.
3. Law enforcement, authorities, and “data recovery” companies will NOT help you.
They will only waste your time, take your money, and block you from recovering your files — your business will be lost.
4. Any attempt to restore systems, or refusal to negotiate, may lead to irreversible wipe of all data and your network.
5. We have exfiltrated all your confidential and business data (including NAS, clouds, etc).
If you do not contact us, it will be published on our leak site and distributed to major hack forums and social networks.
TOX CONTACT - RECOVER YOUR FILES
Contact us (add via TOX ID): xxxxxxxxx(実際のTOX ID)
Download Tox messenger: https://tox.chat/download.html
COOPERATE TO PREVENT DATA LEAK (239 HOURS LEFT)
Check our blog: xxxxxxxxx(実際のリークサイトURL onionでした)
Download Tor browser: https://www.torproject.org/download/
Any other means of communication are fake and may be set up by third parties.
Only use the methods listed in this note or on the specified website.
日本語訳にすると大体こんな感じです。
xxxxxxxxx = お前らのID
お前らのネットワークは俺たちの支配下だよ。
全部のファイルは暗号化されてアクセス出来なくなったよ。
1.暗号化されたファイルイジったら俺たちでも戻せないよ。
2.俺たちだけが持つ鍵とソフトウェアじゃないと復旧なんて出来っこないよ。ブルートフォース?RAMダンプ?他の復旧ツール?無理無理!これは数学的にも無理です。俺たちのみ可能だよ。
3.法律屋さん?当局?データ復旧会社?時間とお金の無駄だし、逆に邪魔になるよ。お前らの会社潰れるよ?
4.システム復旧への挑戦、交渉の拒否は全データの消去に繋がっちゃうかもよ。
5.俺たち、もうお前らの業務データや機密情報(NAS,クラウド含め)は全部持ち出しちゃってるよ。連絡しなかったら俺たちのリークサイトに公開して、SNSにも公開しちゃうわ。
復旧したいならTOXで連絡して。
連絡先 : xxxxxxxxx(実際のTOX ID)
TOXのダウンロードはここから : https://tox.chat/download.html
協力して情報の流出を防ごうぜ!(残り239時間)
俺たちのブログ : xxxxxxxxx(実際のリークサイトURL onionでした)
TORのダウンロードはここから : https://www.torproject.org/download/
その他の連絡手段は全部偽物だし、第三者が用意した奴かもしれないよ。この方法を利用してね。
なかなか、お手本のようなランサムノートですね。
Gentlemenとは?
ノート中に Gentlemen という呼称は出てきており、MalwareBazaar内でもGentlemenがタグ付けされています。
Gentlemenは「The Gentlemen」という名前で2025年7月頃から表面化し、ランサムウェア/二重恐喝系の脅威アクターとして活動を続けているグループのことです。
以前は「ArmCorp」と呼ばれるQilin系アフィリエイトと関連していた可能性もあるそうです。
※Qilinは超有名ランサムウェアグループです。
参考 : https://www.group-ib.com/blog/hastalamuerte-gentlemen-raas-ttps/
断定は危険ですが、Gentlemenと呼ばれる脅威アクターが攻撃者の正体である可能性は十分考えられます。
偽旗と呼ばれる、敢えて別の攻撃アクター特有のファイル名や処理などを残す方法もあるため、すぐに「Gentlemenで間違いない!」と思考をロックしてしまうのはかなり危険です。
偽旗が上手く働いた例として有名なのはOlympic Destroyerとかですかね...?
得られた知見
・ 被害者を焦らせる手口として「復旧は交渉なしであると不可能であること」「無理な復旧は全データ削除に繋がること」「既に攻撃者側がNASやクラウドを含むデータを持ち出しており、手遅れであること」を説明し、淡々とその根拠となる事実説明を行っている点。
こちらは心理的誘導として、交渉を行わせようとしていることが分かります。また、残り時間なども同時に表示することも、心理的誘導の1つですね。
・ 交渉として匿名性の高いTORやTOXを利用しており、ダウンロードリンクも同時に添付している点。
わざわざダウンロードリンクも載せることで、被害者側の組織がそういった知識に精通していなくとも、交渉を円滑に進めることが出来るようにしていますね。ただ威圧的なだけではなく、こうした点でしっかりと誘導を行っているのも狡猾です。
・ 別の連絡手段について警告している点
確かに、例えば脅威アクターAがランサムウェアで暗号化したのを何らかの方法で知り、脅威アクターBが自分たちの連絡先を送ってA側の成果を横取りするといった手口も考えられます。その対策を取っているわけですね。
現時点(2026/04/18)のリークサイト
ランサムノート内で記載されていたリークサイト側は絶賛稼働中であり、被害企業ごとの公開タイマーと、期限超過後と思われる公開データの掲示が確認できました。
この挙動は、ノート内の「期限付き公開脅迫」と矛盾していません。
仮にこのような被害に遭った場合
ランサムウェア被害に遭い、この種のノートが表示された場合、以下の対応を迅速に行う必要があります。
- 影響端末の隔離(ネットワーク遮断)
- 証拠の保全(メモリ、ログ、ノート原本、通信先)
- 認証情報のリセット(特に特権アカウント)
- CSIRT/法務/広報を含むインシデント体制の立ち上げ
- 流出前提での影響評価(取引先・個人情報・規制対応)
まとめ
名前からして紳士っぽいイメージを持たせるのも戦略の1つなんですかね~
DARKなんちゃらみたいな怖い名前にしてたら、復号してくれなさそうですもんね。
最後まで見ていただき、ありがとうございました。感想などがあれば気軽に書いていただけると嬉しいです。