出典:Zoonar GmbH(Alamy Stock Photo経由)
歴史上初めて、ロシア政府が自国のサイバー犯罪地下組織に対して部分的な取り締まりを行っています。
ロシアのサイバー犯罪者は世界中で活動していますが、ロシアは常にその中心地であり続けてきました。それは主に、国家による事実上の黙認があったからです。ロシアの寡頭制は、国内のサイバー犯罪に目をつぶってきました。多くの場合、国家機関や有力な当局者が、ネット犯罪者と積極的に協力したり、リクルートしたり、その他の支援を行ってきました。
新たなレポートと、10月初旬にマンハッタンで開催されたPredictカンファレンスでのDark Reading独占インタビューで、Recorded Futureはこの共生関係に亀裂が入り始めていると仮説を立てています。西側諸国での大きな動き、つまりロシアのサイバー犯罪者に対する法執行の強化や、各分野でのサイバーセキュリティの向上により、ロシアの法執行機関は一部の下層サイバー犯罪者に対する安全地帯を撤回し始めています。
「ここでの重要な発見は、ロシアが西側に少し譲歩しているということです」とRecorded Futureの脅威インテリジェンスアナリスト、アレックス・レスリーは語ります。「以前は、サイバー犯罪者であってもロシアの組織や個人を標的にしなければ起訴されないという不文律がありました。それが実際に変わったのです。」
ロシアがこうした行動を取る動機は複雑で、ある意味では不透明です。いずれにせよ、今後どの方向に進むにせよ、世界のサイバーセキュリティに甚大な影響を及ぼすことは間違いありません。
ロシアとサイバー犯罪者の暗黙の契約
ロシアのサイバー犯罪地下組織は、常にロシア国家にとって価値ある存在でした。それはロシアに敵対する国々への打撃であり、将来性のない若者たちにとっては、国内犯罪に手を染める代わりとなる有意義かつ無限の収入源でもあります。また、攻撃的なサイバー作戦を行う国家機関にとっては、コストゼロの人材供給源です。国家は作戦を高レベルの犯罪グループにアウトソースすることもでき、それによって一定の否認可能性を得ることができます。
こうした理由などから、ロシア当局は下層ハッカーと社会契約を維持してきました。つまり、ハッカーがロシア国内の標的を攻撃しない限り、何をしても咎められないというものです。警察は逮捕せず、国際警察も手出しできません。
場合によっては、国家はハッカーを無視するだけでなく、協力もしています。流出したチャットによれば、Contiのメンバーはロシア下院議員ウラジーミル・イワノビッチ・プロトニコフとプライベートフライトを楽しんだことがあるとされています。あるメンバーは、ロシア軍参謀本部情報総局(GRU)にCOVID-19関連の情報を提供したことも知られています。このグループは、偶然か協調かは不明ですが、ロシア国家の標的となっている組織も攻撃しています。
レスリーはさらに別の例を挙げます。「ウクライナの文脈では、GRUにはさまざまなレイヤーの制度化されたサイバー犯罪が関与しています。これらは攻撃的な作戦に情報を提供しており、2022年以降続いています。その組織のあらゆるレイヤーが、正常に機能するためにサイバー犯罪に依存しています。」
暗黙の契約の破綻
この暗黙の契約が揺らぐことは想像しにくいですが、昨年の動向を見ると、実際に揺らぎ始めていることが示唆されています。
特に注目すべきは、2024年10月にロシア当局がCryptexおよびUniversal Automated Payment Service(UAPS)に関与する約100人を摘発・逮捕したことです。これらは地下経済のマネーロンダリングサービスであり、当局は車両や不動産、1,600万ルーブルを押収しました。
2025年4月の事件では、Aeza Groupの幹部が逮捕されました。同社は多くの脅威アクターや違法マーケットプレイスと関係のあるバレットプルーフ・ホスティングプロバイダーです。また、Mamontバンキングトロイの木馬に関与したハッカーや、皮肉にもInfraud Organizationサイバー犯罪ネットワークから賄賂を受け取っていた反汚職当局者も摘発されました。
Conti、Lockbit、REvilといった有名なランサムウェアグループの主要メンバーさえも逮捕されていますが、これらの場合、科された処罰が軽微だったことから、本気度には疑問が残ります。
この前例破りの動きは、地下社会に深刻な波紋を広げています。「XSSやダークウェブのフォーラムでは、アクターたちが怯え始めているのが見受けられます。『もうこういうサイトでロシア語を話すのは安心できない』『これまで一緒にやってきたIAB(初期アクセスブローカー)、データリークブローカー、IaaS(インフラ・アズ・ア・サービス)プロバイダーなどと関わるのも不安だ』という声が上がっています。」
なぜこうしたことが起きているのでしょうか?
オペレーション・エンドゲーム:状況を変えた作戦
2024年5月、米欧当局はオペレーション・エンドゲームを開始しました。これは世界中のランサムウェア運営を支える人員やインフラを取り締まる、前例のない大規模な取り組みです。ロシアによるサイバー犯罪者への取り締まりは、その数か月後に始まりました。
これは偶然ではないかもしれません。Recorded Futureは、オペレーション・エンドゲームがロシアの安全地帯政策の外交的コストを高め、より柔らかい意味では西側の権威を拡大し、相対的にロシアの影響力を低下させたと主張しています。
この論理に従えば、ロシアが独自に行動を起こすことは、少なくとも2つの役割を果たした可能性があります。表向きには、サイバー犯罪抑制への意欲を示し、内向きには犯罪者たちに「我々が君たちを支配している、我々に従え。特に国外での攻撃的作戦については、ロシア情報機関の意向に従え」と思い知らせることです」とレスリーは語ります。
しかし、地下社会で最も有用な駒を潰すのではなく、クレムリンは二重戦略を取っています。つまり、一部の駒を犠牲にして女王を守るというものです。国家情報に無関係な活動、たとえばマネーロンダリングなどに関与した個人には、明らかに深刻な財政的・法的制裁が科されています。一方、政府にとって有用な人物、たとえばContiやTrickbotなどの主要なボットネットやランサムウェア開発者は、結局は見せかけの裁判で本当の処罰を受けずに済まされています。
研究者たちは「これらの行動は、サイバー犯罪全体の解体を目的としたものではなく、西側からの評判圧力への対応、政治的に繋がりのある脅威アクターの保護、そしてロシアが執行の境界を支配していることを示すためのものと見られる」と結論付けています。
ロシア人を標的にしたロシア人をロシアが標的に
「少なくとも2022年以降、ロシア拠点のグループによるロシア組織への攻撃が増加していることに気づいています。ランサムウェア攻撃やマルウェア拡散、ロシア国内のハクティビストグループによるロシア組織への攻撃です」とレスリーは語ります。この観点では、契約を破ったのはサイバー犯罪者側であり、政府が対応した形です。「ロシアが自由市場を機能させるためには、自由市場にもガードレールが必要です。少なくとも過去2~3年、我々の観測ではそのガードレールが弱まっています。」
確信度は低いものの、彼は「サイバー犯罪グループは、西側組織への攻撃で以前ほど成功しなくなっていると推測しています。それは広範な脅威インテリジェンスの共有、より高度なサイバーセキュリティ実践の普及、そしてサイバーセキュリティ規制によるものです。」法執行の強化と、西側世界全体での組織的サイバーセキュリティの不均一ながらも進歩によって、ロシアの脅威アクターたちは、身近なより簡単な標的を再検討し始めています。
レスリーは「ロシアのサイバー犯罪は依然として繁栄している。ダークウェブも同様です。それは当面変わらないでしょう。したがって、防御姿勢を変えることは全く推奨しません。推奨するのは、破壊的な行動が脅威の状況をどのように拡散させるかを非常に注意深く観察し、それに対応できるようにハンティング活動を適応・多様化させることです」と警告しています。
翻訳元: https://www.darkreading.com/threat-intelligence/russia-cracks-down-low-level-hackers
