B
今週中
ランサムウェアグループ「The Gentlemen」が、アフィリエイト向けにEDR無効化ツール「GentleKiller」を提供していること
📌 一言でいうと
ランサムウェアグループ「The Gentlemen」が、アフィリエイト向けにEDR無効化ツール「GentleKiller」を提供していることが判明しました。このツールはBYOVD(Bring Your Own Vulnerable Driver)攻撃を用いてセキュリティソフトを強制停止させ、攻撃を容易にします。2025年後半の出現以来、すでに500以上の被害者が確認されており、非常に攻撃的な運用が行われています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
- Windows PCにEDR(CrowdStrike, SentinelOne, Microsoft Defender for Endpointなど)を導入している
- 社内でBYOVD(脆弱性のある古いドライバーを意図的にインストールする手法)への対策を未実施である
- 外部から社内PCへリモートアクセスできる環境(VPNやリモートデスクトップ)を運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
署名のないドライバーのロードを制限する設定(Windowsのドライバー署名強制など)を有効にし、BYOVD攻撃への耐性を高めること。また、EDRの改ざん防止機能(Tamper Protection)を有効化し、監視を強化することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ランサムウェアグループ「The Gentlemen」によるEDR無効化ツールについて
お疲れさまです。脅威アクター「The Gentlemen」が使用するEDR無効化ツール「GentleKiller」に関する情報共有です。
■ 概要
BYOVD (Bring Your Own Vulnerable Driver) 手法を用いて、脆弱なドライバーを意図的にロードさせることで、エンドポイントセキュリティ製品 (EDR) を強制的に停止・無効化するツールです。これにより、後続のランサムウェア展開が容易になります。
■ 影響範囲
- Windows OS 環境で動作する EDR/セキュリティ製品
■ 対応手順
1. Windows の「ドライバー署名強制」設定が有効であることを確認し、未署名ドライバーのロードを制限する。
2. EDR製品の「改ざん防止 (Tamper Protection)」設定を有効化し、プロセスの強制終了を防止する。
3. 脆弱なドライバーのロードに関連するイベントログ (Sysmon 等) の監視を強化する。
■ 参考情報
- ESET テクニカルレポート (2026年6月18日公開)
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。脅威アクター「The Gentlemen」が使用するEDR無効化ツール「GentleKiller」に関する情報共有です。
■ 概要
BYOVD (Bring Your Own Vulnerable Driver) 手法を用いて、脆弱なドライバーを意図的にロードさせることで、エンドポイントセキュリティ製品 (EDR) を強制的に停止・無効化するツールです。これにより、後続のランサムウェア展開が容易になります。
■ 影響範囲
- Windows OS 環境で動作する EDR/セキュリティ製品
■ 対応手順
1. Windows の「ドライバー署名強制」設定が有効であることを確認し、未署名ドライバーのロードを制限する。
2. EDR製品の「改ざん防止 (Tamper Protection)」設定を有効化し、プロセスの強制終了を防止する。
3. 脆弱なドライバーのロードに関連するイベントログ (Sysmon 等) の監視を強化する。
■ 参考情報
- ESET テクニカルレポート (2026年6月18日公開)
対応優先度: 高
対応期限: 速やかに確認
Subject: [Threat Intel] EDR-Killer Tool 'GentleKiller' used by The Gentlemen
Dear Team,
We are sharing information regarding 'GentleKiller', an EDR-disabling suite used by the ransomware group 'The Gentlemen'.
■ Overview
GentleKiller employs BYOVD (Bring Your Own Vulnerable Driver) exploits to load vulnerable drivers into the kernel, allowing the attackers to disable security tools and EDRs before deploying ransomware payloads.
■ Scope
- Windows environments utilizing EDR/Endpoint Security products.
■ Recommended Actions
1. Ensure Windows Driver Signature Enforcement is active to prevent the loading of unsigned/malicious drivers.
2. Enable 'Tamper Protection' features within your EDR/AV solutions to prevent unauthorized service termination.
3. Enhance monitoring for the loading of known vulnerable drivers via system logs (e.g., Sysmon).
■ Reference
- ESET Technical Report (Published June 18, 2026)
Priority: High
Deadline: Immediate review
Dear Team,
We are sharing information regarding 'GentleKiller', an EDR-disabling suite used by the ransomware group 'The Gentlemen'.
■ Overview
GentleKiller employs BYOVD (Bring Your Own Vulnerable Driver) exploits to load vulnerable drivers into the kernel, allowing the attackers to disable security tools and EDRs before deploying ransomware payloads.
■ Scope
- Windows environments utilizing EDR/Endpoint Security products.
■ Recommended Actions
1. Ensure Windows Driver Signature Enforcement is active to prevent the loading of unsigned/malicious drivers.
2. Enable 'Tamper Protection' features within your EDR/AV solutions to prevent unauthorized service termination.
3. Enhance monitoring for the loading of known vulnerable drivers via system logs (e.g., Sysmon).
■ Reference
- ESET Technical Report (Published June 18, 2026)
Priority: High
Deadline: Immediate review