Last Updated on 2025-05-25 22:48 by admin
米司法省は2025年5月22日、世界中で70万台以上のコンピューターに感染したマルウェア「Qakbot」を開発・運営したロシア人ルスタム・ラファイレヴィッチ・ガリヤモフ(48歳、モスクワ在住)をコンピューター詐欺・濫用の共謀罪と電信詐欺の共謀罪で起訴したと発表した。
ガリヤモフは2008年からQakbotを開発し、2019年以降は世界中のコンピューターに感染させ、ProLock、REvil、Conti、Black Basta、Cactusなどのランサムウェア集団にアクセスを提供していた。FBIは2023年8月にQakbotのインフラを破壊したが、ガリヤモフは2025年1月まで活動を継続し、スパム爆撃攻撃などの新たな手法を採用していた。司法省は4月25日に30ビットコインと70万ドル相当のUSDTトークンを押収し、総額2400万ドル以上の不正収益に対する民事没収手続きを開始した。
References:
Feds finger Russian ‘behind Qakbot malware’ that hit 700K computers
【編集部解説】
今回のQakbot事件は、サイバーセキュリティ業界において極めて重要な意味を持つ事案です。ロシア人ハッカーのガリヤモフが17年間にわたってQakbotマルウェアを運営し続けていたという驚異的な持続性が明らかになっています。
Qakbotが特筆すべき点は、単なるマルウェアではなく「犯罪インフラ」として機能していたことです。ガリヤモフは感染したコンピューターへのアクセス権を他のランサムウェア集団に販売し、さらに直接関与していない攻撃からも収益の一部を受け取るという、極めて洗練されたビジネスモデルを構築していました。
これは従来の「ハッカー個人による攻撃」から「組織化されたサイバー犯罪エコシステム」への進化を示しています。現代のサイバー犯罪は分業制が進んでおり、マルウェア開発者、初期侵入専門家、ランサムウェア運営者が役割分担する構造になっているのです。
レジリエンス(復元力)の脅威
2023年8月のFBI主導による「アヒル狩り作戦」で一度は壊滅したはずのQakbotが、わずか3か月後に復活したという事実は、現代のサイバー犯罪組織の適応力を物語っています。ガリヤモフは従来のボットネット手法から「スパム爆撃」という新たな戦術に切り替え、2025年1月まで活動を継続していました。
この適応力は、法執行機関にとって深刻な課題を提起します。インフラを物理的に破壊しても、犯罪者が新たな手法を開発して復活する可能性が高いということです。
国際協力の重要性と限界
今回の捜査では、FBI、ドイツ連邦刑事庁、オランダ国家警察、フランス警察、ユーロポールが連携した「エンドゲーム作戦」の一環として実施されました。しかし、ガリヤモフ自身はロシア国内にいるため身柄確保には至っていません。
これは現代のサイバー犯罪捜査における根本的なジレンマを示しています。犯罪者が非協力的な国家の庇護下にいる限り、資産凍結や起訴は可能でも、実際の逮捕は困難なのが現実です。
企業への長期的影響
Qakbotの被害者には歯科医院から大手製造業まで幅広い業種が含まれており、サイバーセキュリティがもはや「IT部門だけの問題」ではないことを示しています。特に中小企業にとって、高度化するサイバー攻撃への対応は喫緊の課題となっています。
また、今回押収された2400万ドル以上の暗号資産が被害者に返還される予定であることは、サイバー犯罪の経済的インセンティブを削ぐ重要な取り組みといえるでしょう。
【用語解説】
Qakbot(Qbot/Pinkslipbot):
2008年に初めて発見されたバンキング型トロイの木馬として登場、現在は多機能マルウェアプラットフォームに進化している。当初は銀行の認証情報を盗むことを目的としていたが、現在はランサムウェア攻撃の初期侵入経路として悪用されている。
ボットネット:
感染したコンピューターを遠隔操作で制御するネットワークのこと。
スパム爆撃攻撃:
標的の受信箱を大量のスパムメールで溢れさせ、その混乱に乗じて悪意のあるメールを送り込む手法。
マルウェア・アズ・ア・サービス(MaaS):
犯罪者がマルウェアを「サービス」として他の犯罪組織に提供するビジネスモデル。正規のクラウドサービスと同様に、分業制と収益分配システムが確立されている。
【参考リンク】
FBI(連邦捜査局)(外部)
米国の主要な法執行機関で、国内外のサイバー犯罪捜査を主導している
ユーロポール(欧州刑事警察機構)(外部)
EU加盟国の法執行機関間の協力を支援する欧州の警察機関
米国司法省(外部)
今回の起訴を発表した米国の司法行政機関
【参考動画】
【編集部後記】
今回のQakbot事件は、サイバーセキュリティの「いたちごっこ」の現実を浮き彫りにしています。皆さんの組織では、一度対策を講じた脅威が形を変えて復活する可能性をどう想定されているでしょうか。特に興味深いのは、ガリヤモフが17年間も活動を継続できた理由です。技術的な巧妙さだけでなく、国際的な法執行の限界も関係しているのかもしれません。読者の皆さんは、このような長期間にわたる脅威に対して、どのような防御戦略が有効だと思われますか。ぜひSNSでご意見をお聞かせください。