Microsoftは、米国、英国、ドイツ、そしてEuropolの当局と連携し、RedVDSとして知られるサブスクリプション型インフラを悪用して大規模なビジネスメール詐欺(BEC)および支払い転送詐欺を助長していた世界的なサイバー犯罪作戦を妨害した。
1月14日に発表された一連の民事・刑事の協調措置により、RedVDSのマーケットプレイスと顧客ポータルはオフラインとなり、主要インフラが押収された。これは、Microsoftが今日のAI主導の詐欺エコシステムの中核的な実現要因と位置付けるサービスに打撃を与えるものだ。
RedVDSはサイバー犯罪のサービス化(CaaS)プラットフォームとして機能し、Windowsを含む無許諾ソフトウェアを実行する使い捨ての仮想マシンへのアクセスを、月額わずか24米ドルで販売していた。
これらの仮想環境は、フィッシングキャンペーンのホスティング、不正なメールアカウントの管理、国境を越えた複雑な詐欺の組織化のために、安価で匿名性が高く、迅速に置き換え可能なインフラを犯罪者に提供していた。
Microsoftによると、2025年3月以降、RedVDSを利用した作戦により、米国だけで報告された詐欺被害額は約4,000万ドルに達している。
被害者の一つであるアラバマ州拠点のH2-Pharmaは、がん治療、メンタルヘルス薬、小児用アレルギー薬に充てられるはずだった730万ドル超を失った。
別の被害者であるフロリダ州のGatehouse Dock Condominium Associationは、不可欠な物件修繕に充てる予定だった約50万ドルをだまし取られた。
両組織は、民事訴訟においてMicrosoftとともに共同原告として参加している。
Microsoftは、詐欺事案の多くが未報告であること、またRedVDSのインフラが複数のプラットフォームやプロバイダーにまたがって利用されていたことから、観測された損失は実際の影響の一部にすぎないと指摘している。
攻撃者はRedVDSを用いて、膨大な量のフィッシングメールを送信し、詐欺用インフラをホストし、生成AIによってしばしば強化された詐欺スキームを実行していた。
Microsoftは、犯罪者がRedVDSをAIツールと組み合わせ、高価値ターゲットの特定、説得力のあるマルチメディアのメールスレッドの作成、さらには顔のすり替え、動画改ざん、音声クローン技術の展開によって信頼される関係者になりすます様子を確認した。
わずか1か月で、2,600台を超えるRedVDSの仮想マシンが、Microsoftの顧客に対して1日平均100万通のフィッシングメールを送信した。
2025年9月以降、RedVDSに支えられた活動により、世界で19万1,000を超える組織が侵害、または不正アクセスを受けた。
損失の大きな割合はBECに起因しており、攻撃者がメールアカウントに侵入して継続中のやり取りを監視し、重要な支払いのタイミングで介入して資金の送金先を変更させる。
RedVDSは、不動産取引の決済資金やエスクロー支払いを狙う不動産の支払い転送詐欺にも深く関与しており、世界中で数千の顧客に影響を与え、対象は不動産にとどまらず、医療、製造、物流、教育、法務サービスなどの分野にも及んでいる。
この作戦は、ドイツのインターネット犯罪対策中央局(ZIT)、ブランデンブルク州刑事警察局、Europolの欧州サイバー犯罪センターとの協力のもと実施され、これらの機関はいずれもMicrosoftと連携してRedVDSの背後にいる人物の特定と、関連するサーバーおよび決済ネットワークの解体に取り組んでいる。
同社は、支払い変更を処理する際には急がず、既知の連絡経路を通じて指示を確認し、多要素認証を有効化し、不審な活動を法執行機関に通報するよう組織および個人に呼びかけている。また、被害は個人の不注意ではなく、組織化されたプロフェッショナルな犯罪活動によって生じることを強調している。