｢子どもを学校へ送り､ジムに通う…｣ランサムウェア犯罪者の素顔､攻撃グループの内部チャット20万件が暴いた日常"まるで会社のよう"

経済的困窮や紛争が、一部のメンバーをサイバー犯罪へと駆り立てる背景となっている可能性がうかがえる。犯罪行為を正当化するものではないが、サイバー犯罪集団の形成や維持には社会経済的要因も影響していることを示唆している（画像：筆者提供）

※外部配信先ではハイパーリンクや画像がうまく表示されない場合があります。その際は東洋経済オンラインでご覧ください

組織内部の疑心暗鬼、流出データが示すもの

さまざまな背景を持つ者が匿名で集まる以上、内部にも問題は生じる。部下同士の対立を仲裁し、数カ月の休暇を取らせたと苦労を語る上司の発言があった。

「ここには内通者がいる」と警戒する声も残されていた。「私がロシア連邦保安局の人間だというデマを流している者がいる」と憤るメンバーもいた。犯罪でつながる組織では、誰がいつ裏切るかわからない。その不安が疑心暗鬼を生んでいた。

法執行機関への恐怖も垣間見える。同業のLockBitが2024年に摘発されると、Black Basta内でその話題が取り上げられた。

LockBitに接触し表向きはねぎらいの言葉をかけながら、裏のチャットでは「哀れだ」という本音が交わされていた。明日は我が身という不安から、グループ名の変更を検討する声も上がった。

仲間が逮捕された際には、押収された情報の内容を心配し、動揺する様子が記録されている。「国内の移動すら恐ろしい」と吐露するメンバーもいた。常に追われる側であるという現実が、組織を内側から揺さぶっている。

同業の「LockBit」が摘発された際、同グループに接触した記録も残っていた。表向きはねぎらいの言葉をかけつつ、その裏では哀れみを含んだ本音を仲間内で語る様子が見られた。また、外部のサイバー犯罪者の逮捕事例を共有し合い、法執行機関の取り締まり強化を警戒している様子もうかがえた（画像：筆者提供）

※外部配信先ではハイパーリンクや画像がうまく表示されない場合があります。その際は東洋経済オンラインでご覧ください

Black Bastaはチャット流出後も活動を続けたが、次第に勢いを失い、2025年1月末に事実上の活動停止に至った。2022年のContiも同じ道をたどっている。内部情報が大量に流出し、組織は崩壊した。

内部情報の流出から活動停止へ。この共通パターンは、犯罪組織の構造的な脆さを示している。匿名性ゆえの相互不信、法執行機関への恐怖、裏切りのリスク。高度に組織化されていても、これらが重なれば内側から崩れる。国際的な取り締まり強化が、その圧力となっている面もあるだろう。

流出データが示したのは、ランサムウェア攻撃が顔の見えない天才ハッカーによるものではなく、分業と効率化を進めた組織的な犯罪集団によって行われているという事実だ。

正規のビジネスツールで標的を選び、生成AIで効率化し、放置された脆弱性や使い回されたパスワードといった基本の隙を突いてくる。迅速に情報を集め、基本を突いてくる以上、防御側もまた同じスピード感で情報を追い、基本を徹底することが求められる。

Black Bastaは瓦解したが、その手法とノウハウは別の攻撃組織へと流れていく。何を狙い、どこから入り、どのような組織が攻撃を仕掛けてくるのか。敵を知ることが守りの第一歩となる。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、吉川 孝志さんの最新記事をメールでお知らせします。