「サイバー犯罪ネットワークを成功裏に、継続的に、大規模に破壊する」 2026年RSACカンファレンスセッションより
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「大規模なサイバー犯罪ネットワークの破壊には持続的なグローバルコラボレーションが必要」を再編集したものです。
今日のサイバー犯罪は、孤立した犯罪活動というよりも、専門化された行為者がサービス、インフラストラクチャ、専門知識を提供し、攻撃が国境を越えて効率的に拡大することを可能にするグローバル化されたデジタル経済のように機能しています。ランサムウェアグループは、企業ネットワークへの足がかりを得るために初期アクセスブローカーに依存し、マルウェア開発者はアンダーグラウンドマーケットプレイスで販売するためのツールをパッケージ化し、マネーロンダリングネットワークは不正な利益をグローバル金融システムを通じて移動できる金融資産に変換することに特化しています。これらの役割を総合すると、正規のデジタル経済の多くの特性を反映した工業化された犯罪サプライチェーンが形成されます。さらに、シャドウエージェントの台頭は、サイバー犯罪エコシステムの成長を加速させる態勢にあります。
サイバー犯罪をエコシステムとして理解することは、個々の攻撃の連続としてではなく、防御者にとって重要な意味を持ちます。セキュリティチームは依然としてインシデントを軽減し、即座の被害を減らすことができますが、意味のある進歩は、サイバー犯罪活動が機能し拡大することを可能にするシステムを破壊することにますます依存しています。
その視点が、RSACカンファレンス(RSAC)セッション、「サイバー犯罪ネットワークを成功裏に、継続的に、大規模に破壊する」での議論を形作りました。パネルは、世界経済フォーラム、MicrosoftのDigital Crimes Unit、インターポール(国際刑事警察機構)、およびフォーラムのサイバー犯罪アトラスイニシアチブのリーダーたちを集め、業界、国際機関、法執行機関の間の持続的なコラボレーションが、破壊活動を一時的な摘発から犯罪エコシステム全体を弱体化させる協調的なキャンペーンへとどのようにシフトさせることができるかを検討しました。
アドホックな摘発から継続的な破壊へ
サイバーセキュリティコミュニティは、過去20年間にわたってコラボレーションの価値を何度も実証してきました。広く引用される例は、Confickerワーキンググループであり、テクノロジーベンダー、リサーチャー、法執行機関を動員して、当時最大規模のマルウェアアウトブレイクの1つを封じ込めました。この取り組みは、共有されたインテリジェンスと協調的な対応が、急速に拡散する脅威のグローバルな影響をいかに大幅に軽減できるかを示しました。
しかし同時に、Confickerは、今日でも多くの破壊活動に影響を与えている構造的な限界も明らかにしました。このコラボレーションは特定の脅威を中心に構築され、自発的な調整に大きく依存していたため、差し迫った危機が収まると、その協力を支えるメカニズムは徐々に解消されていきました。
サイバー犯罪ネットワークは、そのような一時的な方法では機能しません。インフラストラクチャは迅速に再構築され、アフィリエイトは犯罪プラットフォーム間を移動し、マルウェアツールキットは、オペレーターが防御策に適応するにつれて継続的に進化します。敵対者のエコシステムは中断することなく機能するため、防御側は個々のキャンペーンに対応して組織された一時的な連合に頼ることはできません。サイバー犯罪を効果的に破壊するには、時間をかけて犯罪エコシステムを分析し、標的にできる永続的なコラボレーションモデルが必要です。
サイバー犯罪エコシステムのマッピング
この移行を支援するために設計されたイニシアチブの1つが、Cybercrime Atlasです。これは、業界、法執行機関、学術界のパートナーと協力して、世界経済フォーラムのサイバーセキュリティセンターを通じて開発されました。Cybercrime Atlasは、関与するアクター、彼らが依存するインフラストラクチャ、攻撃を収益化できる金融システムなど、サイバー犯罪活動を定義する関係のマッピングに焦点を当てています。
これらのエコシステムに対する共通の理解を構築することで、このイニシアチブは、参加者が個々のオペレーターや孤立したインシデントに焦点を当てるのではなく、犯罪ネットワークの複数の層を標的とする破壊戦略を調整できるようにします。脅威インテリジェンスチームは、マルウェアキャンペーンとインフラストラクチャの使用パターンに対する可視性を提供します。テクノロジー企業は、プラットフォームとホスティング環境全体で悪意のある活動を特定します。金融機関は、不正資金の動きに関する洞察を提供します。そして法執行機関は、捜査権限と逮捕および起訴を追求する能力を提供します。
これらの視点を組み合わせると、破壊キャンペーンはサイバー犯罪のサプライチェーン内の複数のポイントに同時に対処でき、犯罪活動が一時的に中断されるのではなく、有意義に劣化する可能性が高まります。
コラボレーションを運用能力に変える
コラボレーションはサイバーセキュリティにおいて不可欠であると広く認識されていますが、コラボレーションを運用可能にするには、共通の意図以上のものが必要です。組織は、インテリジェンスがセクターや管轄区域を越えて安全に移動できるメカニズムを持つ必要があり、それらのメカニズムは、単に共有分析を生成するだけでなく、調整されたアクションをサポートする必要があります。
参加者はまた、明確に定義された運用上の役割を必要とします。これにより、悪意のあるインフラストラクチャやアクターが特定されると、組織はいつどのように行動するかを理解できます。テクノロジープロバイダーは脅威アクターが使用するインフラストラクチャを無効化し、金融機関は疑わしい取引パターンを調査し、法執行機関は逮捕や起訴につながる捜査を開始する可能性があります。
同様に重要なのは、コラボレーションが反復可能でなければならないということです。効果的な破壊は、独自の個人グループや一度限りの状況の整合に依存することはできません。代わりに、調整されたキャンペーンが定期的かつ大規模に発生できるようにするガバナンス構造、運用プロセス、信頼できるパートナーシップが必要です。
Cybercrime Atlasは、この種の制度的枠組みを提供する1つの試みであり、パートナーがグローバルなサイバーセキュリティコミュニティ全体でインテリジェンス、調査、執行措置をより一貫して調整できるようにします。
サイバー犯罪の経済性を変える
サイバー犯罪が存続しているのは、経済的に魅力的であり続けているためです。犯罪グループが攻撃インフラストラクチャに投資するのは、ランサムウェア、詐欺、データ窃取による金銭的利益が、これらの活動に伴うリスクや運用コストを上回り続けているためです。
妨害活動が永続的な影響を与えるためには、サイバー犯罪を支える経済モデルを変えることに焦点を当てる必要があります。インフラストラクチャの繰り返しの摘発により、攻撃者は運用環境の再構築に時間とリソースを費やすことを余儀なくされます。金融調査と取引監視により、特に不正な資金の流れが複数の管轄区域にわたって追跡される場合、攻撃の収益化がより困難になる可能性があります。逮捕と起訴は不確実性をもたらし、評判と信頼性に大きく依存する犯罪ネットワーク内の信頼を損ないます。
これらの結果のそれぞれが、サイバー犯罪のサプライチェーンに摩擦をもたらします。時間の経過とともに、持続的な妨害キャンペーンは、犯罪組織の運営コストを引き上げる一方で、これらの組織が依存するサービスの信頼性を低下させることができます。
デジタルエコシステム全体における説明責任
意味のある妨害を達成するには、複数のセクターからの参加が必要であり、それぞれが他のセクターでは容易に再現できない能力を提供します。テクノロジープロバイダーは、悪意のあるインフラストラクチャやプラットフォームの悪用に対する最も早い可視性を持つことが多く、一方で脅威インテリジェンスチームは、キャンペーン全体にわたって敵対者の戦術とインフラストラクチャの関係を追跡します。金融機関は不正な資金の流れに関する洞察を提供し、法執行機関はこれらの洞察を調査と法的措置に変換します。
これらの能力が孤立して機能する場合、その影響は限定的です。しかし、協調的なキャンペーンを通じて連携すると、組み合わされた効果はサイバー犯罪ネットワークの運用上の回復力を大幅に弱めることができます。
RSACセッションで示されたパートナーシップは、民間セクターと公共セクター全体の組織がインテリジェンス、調査権限、運用能力を共通の目標に向けて提供することで、これらの連携がどのように成熟し始めているかを示しています。
国際協力の重要性
サイバー犯罪グループは意図的に管轄区域の境界を悪用し、ある国にインフラストラクチャをホストし、別の国から活動し、世界中の被害者を標的にすることがよくあります。このグローバルな運用モデルにより、効果的な妨害には国際協力が不可欠となります。
インターポール(国際刑事警察機構)などの組織は、国境を越えた調査を調整し、各国の法執行機関がサイバー犯罪事件で協力できるようにする上で重要な役割を果たしています。同時に、民間セクターの組織は、悪意のあるインフラストラクチャを特定し、犯罪エコシステムがどのように機能するかを理解するために必要な技術的可視性を頻繁に保有しています。
調査権限と業界インテリジェンスを組み合わせることで、妨害キャンペーンがインフラストラクチャの一部を解体するだけでなく、サイバー犯罪ネットワークの運営に責任を持つ個人に到達する可能性が大幅に高まります。
地域的な妨害コミュニティの構築
もう1つの重要な目標は、地域的なサイバー犯罪妨害コミュニティの発展を支援することです。これらのグループは、法執行機関、サイバーセキュリティ企業、金融機関、学術リサーチャーを集め、それぞれの地域に特に関連する脅威に対処します。
地域的な連携により、参加者はインテリジェンスをより迅速に共有し、地域の脅威環境を反映した妨害活動を調整し、後にグローバルな妨害キャンペーンに貢献できる運用プレイブックを構築することができます。これらの地域コミュニティがより広範な国際的枠組みを通じて接続されると、その結果は、敵対者のエコシステムの分散構造を反映した、サイバー犯罪妨害へのネットワーク化されたアプローチとなります。
持続的なサイバー犯罪妨害に向けて
サイバーセキュリティにおいて進行中のより広範な変化は、主に検知と対応に焦点を当てたモデルから、サイバー犯罪そのものの構造的基盤を標的とするモデルへの移行を伴います。犯罪エコシステムをマッピングし、セクター間でインテリジェンスを調整し、インフラストラクチャと金融ネットワークに対する持続的な妨害キャンペーンを実施することで、防御側はサイバー犯罪の規模拡大を可能にするシステムを弱体化させることができます。
単独の組織だけでこの成果を達成することはできません。サイバー犯罪は、政府、テクノロジー企業、金融機関、国際機関、サイバーセキュリティリサーチャー間の調整を必要とするグローバルな課題です。
RSACでのような対話は、連携が非公式な調整から構造化されたグローバルな行動へと移行できることを示しています。これらの取り組みが成熟し拡大するにつれて、持続的な妨害キャンペーンは、サイバー犯罪の経済性を徐々により高いリスク、より低い収益性、そして責任者に対するより大きな説明責任へとシフトさせることができます。
本記事はアフィリエイトプログラムによる収益を得ている場合があります