2025年の最も興味深いサイバー犯罪の摘発事例
2025 年 12 月 3 日、Andrew Sanders
信頼された内部関係者が、今年最大のサイバーセキュリティの脅威の一つとなった経緯
要点
- 2025 年の最も注目すべきサイバー犯罪の摘発事例は、サイバーセキュリティの主要な懸念事項が、外部の脅威から悪意のある内部関係者へと移行していることを明らかにしています。
- 2025 年には、特権的なアクセス権を持つ信頼された従業員が、その立場を利用してサイバー犯罪者に機密情報を販売した、いくつかの注目すべき事例がありました。
- 法執行機関は、多くの著名なサイバー犯罪者を逮捕することに成功していますが、内部関係者による脅威は、依然として検出と防止が特に困難です。
- 組織は、従業員は誰も疑いの目を逃れることはできないことを認識し、内部セキュリティプロトコルを強化して内部関係者によるリスクを軽減する必要があります。
毎年「史上最大のデータ侵害」が報じられていますが、明るい兆候として、世界的に活動する攻撃者の逮捕件数が増加しています。2024年には29億件超の機密ファイルが流出する記録的な侵害が発生しましたが、犯人であるUSDoDの別名で知られる攻撃者は迅速に逮捕されました。しかし新たな傾向として、外部脅威によるデータ侵害は最も心配すべき問題ではないかもしれません。
問題点:2025年に摘発された最も注目すべきサイバー犯罪は、より深刻な傾向を示しています。今年法執行機関が標的とした最も目立つ人物は、悪意のある外部関係者や国家主体の攻撃者ではありません。むしろ内部関係者——倫理観を捨て、専門知識を悪用して金銭を得るために法に背くことを選んだ信頼された専門家たちです。
内部の犯行:防衛企業の幹部がサイバー機密を売却
防衛請負企業L3Harrisは210億ドルの収益を誇り、世界中で約5万人の従業員を擁します。自律型水中ドローンから衛星光学機器まであらゆる製品を販売しています。同社のサイバーセキュリティ部門トレンチャントは、米国および同盟国政府向けの侵入ツール開発を専門とします。そして痛ましい教訓も学びました——最も信頼される従業員でさえ内部脅威となり得るのです。
トレンチャントの元ゼネラルマネージャー、ピーター・ウィリアムズは最近、ロシア政府を含む国家機関への機密資料販売で有罪を認めました。この資料は8つの未公表ゼロデイエクスプロイトを含み、所有者はスマートフォンやウェブブラウザなどのシステムを侵害・監視できます。
Techcrunchによれば、ウィリアムズは「スーパーユーザー」権限を利用して、通常はエアギャップ(隔絶)された安全なシステムに保管されていたこの資料にアクセスし、個人用ハードドライブに転送しました。コード漏洩の通報を受けた組織はウィリアムズを調査責任者に任命しましたが、彼はこの権限を悪用して別の従業員を陥れました。
この事件は、サイバーセキュリティ分野において「疑いの余地がない」従業員など存在しないことを示しています。
身代金交渉人が脅威アクターに転身
ランサムウェアの台頭により、サイバーセキュリティ分野に新たな職種が誕生しました。ランサムウェア交渉人は、暗号化攻撃成功後に直接攻撃者と交渉します。その役割は身代金総額の削減を図り、必要に応じて技術支援を得てファイルの円滑な復号・復旧を保証することです。
脅威グループは交渉担当者との緊密な連携に強いインセンティブを持ちます。取引が容易な評判を得られれば、標的が身代金を支払う可能性が高まるからです。しかし、ランサムウェア交渉担当者が敵側に寝返った場合、何が起きるのでしょうか?
最近公開された大陪審起訴状によると、インシデント対応マネージャー兼ランサムウェア交渉担当者が、ALPHV/BlackCatと呼ばれるマルウェア株を用いて被害者を標的にし、恐喝した容疑で告発されています。ある事例では、共犯者らは医療機器メーカーから130万ドルの支払いを成功裏に強要しました。
交渉担当者が自社リソースを攻撃に利用した証拠はないものの、その示唆するところは憂慮すべきです。本件のインシデント対応マネージャーは、借金返済のためにランサムウェア攻撃を企てました。高額報酬に誘惑されサイバーセキュリティ専門家が闇の側に転落するのを防ぐため、どのような対策が講じられているのでしょうか?
国際協力で摘発された3億ユーロ詐欺組織
明るいニュースとしては、国際共同作戦により2016年から2021年にかけて活動した多国籍クレジットカード詐欺組織が最近摘発されました。このグループは月額50ユーロ未満の偽クレジットカード契約を大量に作成し、最終的に地球上のほぼ全ての国で1,900万人の顧客を標的にしていました。
一方、暗いニュースとしては、逮捕された18名の容疑者のうち少なくとも5名が大手決済プロバイダーの従業員や幹部であったことが判明しました。彼らはアクセス権限のあるシステムに関する知識を悪用し、不正取引を隠蔽し、資金洗浄を行い、一連のペーパーカンパニーを通じて収益を分配していました。
注目すべきは、いわゆる「犯罪サービス」企業が違法活動に利用された点です。こうした組織の多くはランサムウェアやサービス拒否攻撃を提供するために設立されますが、本事件で利用された企業は、ターンキー方式の一環として追跡困難な金融ネットワークを構築しました。ペーパーカンパニーのネットワークを構築したことで、個々の消費者が自身の資金の行き先を正確に把握することはほぼ不可能となりました。
2025年は内部脅威の年だったのか?
ここ3つの事例に共通する傾向に気づいたかもしれません。今年最も注目を集めたサイバー摘発事例では、経験豊富な情報セキュリティ専門家や決済業界のエキスパートが、悪意ある者たちと共謀して数百万ドルを稼いだのです。
- 情報産業のベテランがロシアのエクスプロイトブローカーと結託
- ランサムウェア交渉担当者がランサムウェア・アズ・ア・サービス(RaaS)事業者と共謀
- 決済業界幹部がプロの資金洗浄業者を利用
なぜこれほど多くのセキュリティ専門家が突然敵側に転向するのでしょうか?その答えは本記事の範囲を超えます(ただし私なりの見解はあります)。一方で、最も信頼される内部関係者でさえ、疑いの対象から外せないという事実を物語っています。今こそ企業は、内部脅威を示す不審な活動を検知できるアクセス制御・監視ソリューションを導入すべきです。
バラクーダなら、内部関係者が不正行為に走る兆候となる行動をネットワーク監視で検知できます。アカウントが侵害された場合でも、賄賂に誘惑された場合でも、バラクーダ マネージド XDR は、重要な知的財産の窃取や不正取引の隠蔽を示唆する可能性のある予期せぬファイル転送や削除を検知します。詳細を以下ページより確認し、次なる内部者による侵害を回避する方法をご確認ください。
