2025年夏に初観測されたランサムウェア集団「The Gentlemen」は、正規の脆弱なドライバーを悪用しセキュリティ製品を無力化する。
トレンドマイクロが2025年9月12日に報告したもので、CPU監視ツール「ThrottleStop」のドライバー(ThrottleStop.sys)が持つ脆弱性(CVE-2025-7771)を突く。
攻撃者はこのドライバーをThrottleBlood.sysと改名し、「All.exe」などのツールと組み合わせてアンチウイルスやEDRのプロセスを停止させる。
この手法は、ブラジルでのインシデントを調査したKaspersky Labが発見した。ドライバーはDigiCertの正規証明書を持つため検知が困難である。
From: 
‘Gentlemen’ Ransomware Abuses Vulnerable Driver to Kill Security Gear
【編集部解説】
今回は「The Gentlemen」と名乗る新しいランサムウェアのニュースですが、注目すべきはその名前のインパクトではありません。彼らが使う「手口」にこそ、私たちが直面する未来の脅威、そしてその対策のヒントが隠されています。
今回の攻撃の核心は「BYOVD(Bring-Your-Own-Vulnerable-Driver)」と呼ばれる、非常に巧妙な戦術です。直訳すると「脆弱なドライバーを自分で持ち込む」。これは、攻撃者が「脆弱性を抱えているものの、ベンダーの正規の電子署名がされたドライバー」を自ら標的のPCに持ち込み、それを悪用してシステムを乗っ取るというものです。
今回のケースで悪用されたThrottleStop.sysは、もともとPCのパフォーマンスを調整するための正規ツールです。WindowsのようなOSは、信頼できる企業からの「電子署名」を信頼の証とみなし、ドライバーに強力な権限を与えます。攻撃者はこの信頼を逆手に取り、ドライバーが持つOSの心臓部(カーネルレベル)で動作する権限を悪用して、本来は決して停止できないはずのセキュリティソフトを強制終了させてしまうのです。これは、警備システムが公認している「欠陥のある合鍵」を使って、金庫室の扉を内側から開けてしまうようなものと言えるでしょう。
この手口が示すのは、サイバー攻撃の「質の変化」です。これまでの攻撃の多くが不特定多数を狙う「ばらまき型」だったのに対し、「The Gentlemen」は標的の企業がどのセキュリティ製品を使っているかを事前に調査し、攻撃をカスタマイズしています。信頼されている「正規の部品」を悪用するため、従来のパターンマッチング型**の検知システムをすり抜けやすく、非常に厄介な存在です。
この動きは、セキュリティ業界に新たな課題を突きつけています。もはや、ファイルが「悪意あるか、正規か」という二元論だけでは不十分なのです。今後は「正規のツールが、不審な振る舞いをしていないか」という文脈(コンテキスト)で監視する、一歩進んだ検知技術が不可欠になります。トレンドマイクロが指摘するように、「未知の実行ファイルが特定のドライバーを読み込む」といった異常な組み合わせを検知するアプローチが重要性を増してくるはずです。
また、この事件は、一見無害なユーティリティソフトの脆弱性が、企業の存続を揺るがす重大なセキュリティリスクに直結することを示しました。これは、あらゆるソフトウェア開発者にとって、自らの製品が意図せずして「武器」として転用される可能性を常に意識すべきだという警鐘でもあります。
私たちユーザーにとっても、これは対岸の火事ではありません。「信頼できるはずのツール」が脅威になり得るという現実は、ソフトウェアの利用における新たな視点を私たちに要求します。未来のセキュリティは、ただ壁を高くすることから、内部で何が起きているかを賢く監視することへと、その重心を移していくことになるでしょう。
【用語解説】
ランサムウェア: コンピュータのファイルを暗号化し、元に戻すことと引き換えに身代金(Ransom)を要求する悪意のあるソフトウェアである。
EDR (Endpoint Detection and Response): PCやサーバーなどの末端(エンドポイント)を監視し、サイバー攻撃の兆候を検知して対応するセキュリティソリューションだ。
TTPs (Tactics, Techniques, and Procedures): 攻撃者がサイバー攻撃を行う際に用いる戦術、技術、手順の総称である。攻撃者グループの特定や、将来の攻撃を予測するために分析される。
BYOVD (Bring-Your-Own-Vulnerable-Driver): 攻撃者が、意図的に脆弱性を持つ正規のドライバーを標的のシステムに持ち込み、その脆弱性を悪用してシステムを制御する攻撃手法である。正規の署名を持つため、検知が難しい。
カーネル: OSの中核部分であり、ハードウェアとソフトウェアの間の橋渡しを行う最も基本的なプログラムだ。システム全体に対して非常に強力な権限を持つ。
ゼロトラスト: 「何も信頼しない」という考えを前提としたセキュリティモデルである。社内・社外を問わず、全てのアクセスを検証することで、セキュリティを強化する。
CVE (Common Vulnerabilities and Exposures): 個別に発見された情報セキュリティ上の脆弱性を識別するための共通の番号である。CVE-2025-7771は、ThrottleStopの脆弱性を指す固有の識別子だ。
【参考リンク】
トレンドマイクロ株式会社(外部)
今回のランサムウェア「The Gentlemen」の活動を最初に詳細報告した、世界的なサイバーセキュリティ企業
Kaspersky(外部)
ThrottleStopの脆弱性(CVE-2025-7771)を最初に発見・報告した、ロシア本社の大手情報セキュリティ企業
Dark Reading(外部)
今回の元記事を掲載した、サイバーセキュリティ専門のニュースメディア
DigiCert(外部)
ThrottleStopドライバーの電子署名を発行した、世界最大級のデジタル証明書発行機関
【参考動画】
動画タイトル: Weaponizing Drivers
チャンネル: Kaspersky
内容: Kasperskyの研究者が、今回のインシデントで発見されたThrottleStop.sysのような脆弱なドライバーを悪用して、アンチウイルスソフトを無効化するマルウェアの技術的な仕組みを解説している。
【参考記事】
Unmasking The Gentlemen Ransomware: Tactics, Techniques, and Procedures Revealed(外部)
トレンドマイクロによる「The Gentlemen」ランサムウェアの詳細な分析レポート
Kaspersky uncovers ThrottleStop flaw in Brazil ransomware attack(外部)
Kasperskyがブラジルでのランサムウェア攻撃調査中にThrottleStopの脆弱性を発見した際の公式発表
CVE-2025-7771 – ThrottleStop.sys Privilege Escalation(外部)
脆弱性CVE-2025-7771に関する技術的な詳細情報
Novel The Gentlemen Ransomware Group Targets Critical Industries in Over 15 Countries(外部)
トレンドマイクロのレポートを基にした「The Gentlemen」の高度にカスタマイズされたアプローチの分析記事
【編集部後記】
今回のニュース、「正規のツールが武器になる」という現実は、少し怖いと感じられたかもしれません。しかし、これは私たち一人ひとりが、テクノロジーとの向き合い方を改めて考える良い機会だと、私は思います。
皆さんが普段何気なく使っている便利なフリーソフトやツールは、本当に安全だと言い切れるでしょうか?今回の事件は、「信頼」という見えない価値がいかに重要で、そして同時に脆いものであるかを教えてくれます。
この記事をきっかけに、ご自身のPCに入っているソフトウェアを一度見直してみませんか?そして、もしよろしければ、皆さんが日頃から感じている「これって安全なのかな?」という小さな疑問や、実践しているセキュリティ対策など、ぜひ聞かせていただけると嬉しいです。
