サイバー犯罪
サイバー犯罪の「中心地」となったロシア語圏アンダーグラウンド
本調査では、世界のサイバー犯罪の中でも、最も高度で大きな影響力を持つエコシステムの一つであるロシア語圏のサイバー犯罪アンダーグラウンドの実態に迫ります。
はじめに
トレンドマイクロでは長らく、サイバー犯罪アンダーグラウンドの動向を追ってまいりました。2012年から続く継続的な調査の中で、ロシア語圏のアンダーグラウンドが現在のサイバー犯罪の「中心地」の1つとなっている事実に行き当たりました。ロシア語圏のサイバー犯罪アンダーグラウンドは、世界のサイバー犯罪の中でも最も高度で、柔軟性があり、かつ大きな影響力を持つエコシステムのひとつであり続けています。このアンダーグラウンドとその関係者たちは、先進的なツールや手法の使用、仮想・現実を問わず多様なサービスに特化したフォーラムやマーケットプレイスの存在、そして根強く浸透した秘密主義と協力の文化といった、いくつかの特徴を示しています。長年にわたり、サイバー犯罪の革新を先導し、他の攻撃者たちが後に模倣するような新しい攻撃手法を生み出してきました。
ロシア語圏アンダーグラウンドの特徴的な側面
ロシア語圏のアンダーグラウンドは複数の地域にまたがって活動しており、特に手ごわい存在となっています。このアンダーグラウンドの影響は、従来の金銭目的のサイバー犯罪にとどまらず、国家主導の攻撃者と利益を追求するサイバー犯罪者の目的や活動に重なりが見られるようになってきています。
ロシア語圏のサイバー犯罪者とその活動の背景には、文化的な要素が大きく影響しています。旧ソ連モデルを基盤とした教育制度では、数学、工学、問題解決能力が重視されており、これはサイバー犯罪に有利な思考力を育んできました。多くのロシア語圏の国々では高校や大学の教育が無償で提供されており、強力な技術スキルを身につけやすく、サイバー犯罪への参入障壁が低くなっています。若者の中には、卒業前の段階で既に基本的なアンダーグラウンド活動を行うだけの知識を備えている者も多く、すでにサイバー犯罪の供給網に深く組み込まれていることもあります。
技術的スキルに加えて、文化的な経験も彼らの行動様式に影響を与えています。高いストレス環境で育ったことにより、彼らはレジリエンス(回復力)や適応力といった、サイバー犯罪を遂行するうえで重要な特性を自然に備えています。さらに、外部の人間に対して非常に警戒心が強く、この用心深さがアンダーグラウンドにおける厳格な入会審査を生み出しています。例えば、特有のスラングを使いこなせることや、過去の犯罪歴を証明することなどが、参加の条件として求められます。
法執行機関による潜入を警戒しているため、アンダーグラウンドでは文化的な知識や習慣に通じていない新参者はしばしば拒絶されます。この慎重な姿勢はフォーラムのセキュリティにも及び、たとえば文化的背景に依存したCAPTCHA(画像認証)が導入され、ネイティブ以外の参加者を排除する仕組みが整えられています。
ロシア語圏アンダーグラウンドの特徴のひとつは、厳格な行動規範が存在し、それが厳密に守られている点です。このエコシステムでは、評判(レピュテーション)がすべての基盤となっており、個人の地位や取引機会はその評判によって左右されます。
このアンダーグラウンドを構成する参加者は、果たしている役割や傘下の目的などからフォーラム管理者、販売者、サービス提供者、購入者、観察者、通りすがり、詐欺師といった役割に分類できます。これらの役割ごとに関わり方が異なりますが、基本的に評判や信用を頼りにサイバー犯罪の環境を渡り歩いていることに変わりはありません。
たとえば、フォーラムの管理者やモデレーターは、プラットフォームの運営を維持するために信頼を必要とします。販売者やサービス提供者は、評判を自身の「ブランド」として活用し、信用を確立するために努力します。購入者の場合、一般的には評判は必要ありませんが、特別な資産を購入する際には、情報の漏洩を避けるための信頼が極めて重要となります。観察者や通りすがりは主に閲覧中心で、活動も限定的であるため、評判が問われるのは制限付きコンテンツへのアクセスなど一部の状況に限られます。最後に、詐欺師は他人のふりをするなどして得た偽の信頼を元に詐欺行為を働くことで他者から搾取したりしており、特に管理の甘いプラットフォームでその存在が見られます。
アンダーグラウンドの最新動向
テクノロジーの進歩とデータへのアクセス性の向上により、サイバー犯罪のビジネスモデルは変化しつつあり、それに伴いアンダーグラウンドの行動様式や収益化手法にも大きな変化が見られます。
ランサムウェアによる二重恐喝スキームの拡大によって、大規模なデータ漏えいが発生し、膨大な量の個人情報が流出する事態となっています。このような個人識別情報(PII)へのアクセスは、恐喝の材料としてだけでなく、新たな本人確認型詐欺の手法を生み出すうえでも、サイバー犯罪者にとって極めて重要な資産となっています。さらに、SNS上にあふれる生体情報とAIによるディープフェイク技術が組み合わさることで、偽の身元情報を簡単に作成できるようになってきています。
NFTやメタバース、ブロックチェーンなどのWeb3技術は、ここ数年で大きな注目を集めてきました。しかし、その普及と、「高価値な資産」と「セキュリティ知識に乏しいユーザ」という組み合わせが攻撃者にとって魅力的な標的となっており、Web3は攻撃の主要な対象と化しています。攻撃者たちは、Twitter、Discord、TikTok、Instagram、Threadsといった人気のSNSプラットフォームを活用し、詐欺を展開しています。また、「マンモス」といった特殊なスラングを使い、詐欺の対象を表現する文化も見られます(絶滅しないマンモスのように、詐欺のカモはいつの時代も存在するという意味合い)。
よく見られる詐欺の手口としては、攻撃者がSNSアカウント(できれば過去の活動履歴がある認証済みのもの)を乗っ取り、インフルエンサーとの交流などを通じて信頼性のあるオンライン人格を構築します。そのうえで、正規のWeb3プロジェクトになりすまし、被害者を巧みに誘導し、マルウェアをダウンロードさせてデジタル資産を抜き取ります。こうした詐欺は、ボットや自動化ツール、外部サービスの活用によって大規模に実行されており、Web3詐欺はサイバー犯罪者にとって極めて収益性の高い手法となっています。
制裁や経済制限の影響により、アンダーグラウンドにおける資金の流れにも変化が生じています。再配送詐欺の件数が急増しているほか、暗号通貨はこのエコシステムの中でさらに定着しています。加えて、正規の企業でさえも、経済的制限を回避するためにグレーゾーンの金融サービスを利用するケースが増加しています。
サイバー犯罪に影響を与える地政学的・社会的変化
地政学的な情勢は、サイバー犯罪者の優先事項に大きな影響を与えています。ロシアとウクライナの継続的な紛争をはじめとする地域的な緊張の高まりは、サイバー犯罪者同士の関係や「標的として許容される範囲」に変化をもたらしました。これにより、デジタル・金融・物流といったさまざまな供給網にも影響が及び、アンダーグラウンドの関係者による活動の在り方が変化しています。特に顕著なのは、これまで長年守られてきた「ロシア国内での活動禁止(Do not work in RU)」という不文律が破られつつあることです。地政学的な対立の影響で、法執行機関と協力されるリスクが低いと見なす犯罪者が増えており、ロシアおよびウクライナを標的としたサイバー攻撃の件数が増加しています。アンダーグラウンドのフォーラムでは、これらの地域を狙った詐欺やサービスの求人投稿が見られるようになっています。
政府と連携する攻撃者も、アンダーグラウンドのサイバー犯罪サービスを戦略的な目的のために活用しています。こうした攻撃者は、金融目的の攻撃と政治的動機によるキャンペーンを組み合わせることで、自らの関与を曖昧にしつつサイバー作戦を遂行しています。また、政治思想に基づく動機によって、サイバー犯罪者や国家主体のグループが政府機関、軍事組織、重要インフラなどを標的にする「ハクティビズム(ハッカーによる政治的行動)」の動きも活発化しています。これらの攻撃は一見すると活動家の行動に見えるものの、その背後にはより広範な犯罪的または政治的な目的が潜んでいます。
経済制裁や資金移動の制限により、サイバー犯罪者たちは新たな換金手段や拠点を模索せざるを得なくなっており、その結果としてアンダーグラウンドの地理的な広がりも増しています。同時に、ロシア語圏と中国語圏のサイバー犯罪コミュニティ間での連携も拡大しており、中国語圏の攻撃者がロシア語フォーラムで積極的に活動する例も増加しています。これらのグループは、初期アクセス販売、脆弱性取引、サイバー犯罪人材のリクルートなどの分野で大きな存在感を示しており、サイバー犯罪エコシステムの国際化がさらに進んでいます。
まとめ
このようなサイバー犯罪アンダーグラウンドの動向は、企業、政府機関、そして個人にとって重大なリスクとなっており、リスクおよび脅威インテリジェンスに基づく防御戦略の重要性を強く示しています。包括的なインテリジェンスを活用し、脅威の状況変化を予測することは、新たなリスクに先回りするために不可欠です。強固なリスクおよび脅威インテリジェンスに基づくアプローチには、戦術的な認識だけでなく、攻撃者、その進化する戦術、そしてサイバー犯罪全体のエコシステムに対する戦略的な理解も必要とされます。効果的なサイバーセキュリティを実現するには、単なる対症療法的な対応にとどまらず、脅威の変化に継続的に適応できる、長期的かつインテリジェンス主導の戦略が求められます。こうした進化する脅威に対応するためには、政府機関や企業は、先進的な脅威インテリジェンス、そして戦略的な分析を、最先端のセキュリティプラットフォームの中でもサイバーリスク・エクスポージャー・マネジメント(CREM)のようなプロアクティブな対策に統合し、ますます高度化・連携するサイバー脅威に効果的に対抗できる体制を整える必要があります。
サイバー犯罪の中心地となっているロシア語圏のサイバー犯罪アンダーグラウンドの動向とその影響についてさらに深く理解したい方は調査レポート『ロシア語圏サイバー犯罪アンダーグラウンドの現状2025』をご覧ください。
参考記事:
The Ever-Evolving Threat of the Russian-Speaking Cybercriminal Underground
By Dr. Fyodor Yarochkin, Vladimir Kropotov, and Robert McArdle
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)