著者: スティーブン マサダ(Steven Masada) / アシスタント ジェネラル カウンセル、マイクロソフト デジタル犯罪対策ユニット
※本ブログは、米国時間 2026 年 6 月 24 日 (水) に公開された “Scaling cybercrime disruption through innovation and AI” の抄訳を基に掲載しています。
マイクロソフトは、個々のサービスだけを狙うのではなく、サイバー攻撃のサプライ チェーン全体を標的とする、サイバー犯罪対策の新しいアプローチに取り組んでいます。本日公開された訴訟では、AI を活用した分析によって、広く使われている 2 つのサイバー犯罪ツール「Amadey」と「StealC」が同じインフラに依存していることが明らかになったことを受け、両者を同時に標的としました。
今回の措置は、ランサムウェア、金融詐欺、公共サービスの妨害につながるサイバー犯罪の「組み立てライン」そのものに対処するものです。Amadey と StealC は、組み合わせて使われることが少なくありません。Amadey は攻撃者がデバイスにアクセスする足がかりを作り、StealC はパスワードや機密情報を盗み出します。両者は組み合わさることで、攻撃の連鎖における重要なつながりを形成します。5 月の最初の 2 週間だけでも、Amadey と StealC は世界全体で 14 万台を超える感染コンピューターと関連付けられており、これらがいかに広く使われているかを示しています。
マイクロソフトは Europol および業界パートナーと協力し、2 つのツールを同時に標的としました。目的は、攻撃の連鎖を断ち切ることです。この作戦の開始以降、マイクロソフトは 18,000 台を超える被害を受けたコンピューターを特定し、それらのデバイスを犯罪者が制御する状態を断ち切り、世界中で影響を受けたお客様を保護するため、通信事業者と連携しています。
攻撃活動の複数の要素をまとめて妨害することで、攻撃を仕掛け、規模を拡大し、立て直すことが難しくなります。その結果、サービス障害は減り、サイバー犯罪者が利益を得る機会も少なくなり、再構築を試みる際の障壁は高まります。
脅威を 1 つずつ追いかけるだけでは、もはや十分ではありません。攻撃がどのように組み立てられているかを断ち切る必要があります。
今回の措置の新しさ
マイクロソフトは以前から、サイバー犯罪インフラの機能を阻害するために民事上の法的措置を活用し、組織犯罪を標的とするために制定された米国の法律である RICO 法 (Racketeer Influenced and Corrupt Organizations Act) を含む、既存の法律の革新的な活用を先導してきました。
今回の取り組みで新たなことは、AI による分析とその法律の適用範囲の拡大を組み合わせている点です。
Amadey と StealC は別々のサイバー犯罪者によって開発されましたが、同じインフラに依存していました。調査担当者は、これらのツールの仕組みを理解するため、複雑なコードを手作業で精査する代わりに、Copilot を含む AI を使って平易な英語で質問しながらマルウェアを迅速に分析しました。これにより、重要な詳細を浮かび上がらせ、隠されたデータを明らかにし、わずかな時間で調査結果を検証できるようになりました。本来であれば数時間から数日かかっていた作業が数分に短縮され、チームはより速くつながりを発見できるようになりました。
こうした知見により、法務チームは 2 つのマルウェア ファミリを一連の共謀の一部として位置づけることができました。過去のように各ツールを個別に追いかけるのではなく、マイクロソフトは RICO 法を用いて、この作戦全体に関与する複数の共犯者を訴追しました。マイクロソフトのデジタル犯罪対策ユニットは合計で、200 を超えるコマンド アンド コントロール サーバーの機能を阻害しました。これらは、犯罪者が感染デバイスを制御し、データを盗み出し、攻撃を継続するために使用していたシステムです。
ツールをまとめて標的とすることで、こうしたネットワークの運用を踏まえながら、サイバー犯罪の連鎖をより効率的かつ効果的に断ち切ることができます。
サイバー犯罪は今や組み立てラインのように動いている
サイバー犯罪はもはや、孤立した攻撃の連続ではなく、連携したシステムです。
専用のツールがそれぞれの工程を担い、あるツールはアクセスを獲得し、別のツールは認証情報を盗み、さらに別のツールはそのアクセスを詐欺、ランサムウェア、スパイ活動、その他の悪質な目的のために販売または悪用します。各段階には異なる攻撃者が関与している場合がありますが、それらが組み合わさることで、アクセスを迅速かつ大規模に利益へと変えていきます。
サイバー犯罪ツールがモジュール式に構築される仕組み
その構造は、脆弱性の一点も生み出します。こうしたサイバー犯罪ツールの背後にいる者たちは、直接やり取りすることは決してないかもしれませんが、彼らのツールは連携して動くように設計されています。これらのつながりを特定できれば、攻撃の複数の段階を一度に妨害できます。
これらの攻撃が現実世界でどのように展開するか
ほとんどの人は Amadey や StealC という名前を耳にすることはないでしょうが、その影響は確かに感じています。重要なシステムから締め出された病院。不可欠なサービスを提供できなくなった都市。一夜にしてアカウントへのアクセスを失った中小企業。生涯をかけた貯蓄を失った退職者。
これらの攻撃は、一度にすべてが起こるわけではありません。段階を追って展開していきます。攻撃者が侵入し、パスワードが盗まれ、アクセスが再利用または販売され、ときにはより標的を絞った作戦のために転用されます。たとえばマイクロソフトは、ロシアに関連する攻撃グループ Secret Blizzard が、Amadey の感染を利用してウクライナの標的に対しカスタム マルウェアを展開している様子を確認しています。
この連鎖の複数のポイントを同時に標的とすることで、1 件の侵害が広範な被害へと発展する可能性を減らせます。簡単に言えば、成功する攻撃は減り、攻撃が成功した場合でも影響を受ける人は少なくなります。
どの組織も単独ではこれを成し遂げられない
このような措置は、根本的な現実を浮き彫りにします。それは、私たちは協力することで成功するということです。政府であれ業界であれ、サイバー脅威が国境やセクターを越えてどのように活動しているかを完全に把握している組織は 1 つもありません。この取り組みを効果的にしているのは、視点とデータの組み合わせです。
マイクロソフトは、お客様への影響を踏まえて Amadey を追跡しており、その動作をより深く理解するため、サイバーセキュリティ パートナーである ESET、BitSight、Lumen、三井物産セキュアディレクション (MBSD) と協力してきました。同時に、Europol の欧州サイバー犯罪センター (EC3) は、ドイツ連邦刑事庁、オランダおよびデンマークの国家警察を含む欧州の法執行機関のパートナー、ならびに IBM X-Force と Proofpoint とともに、Operation Endgame の一環として StealC を捜査していました。
これらの取り組みをまとめることで、私たちの共同データセットが拡大し、2 つのツールの間のつながりを特定して迅速に対処することが可能になりました。この共通理解により、組織単独では到達できない範囲まで踏み込んだ、連携した対応が可能になりました。
これは、パートナーシップがなぜ重要なのかを示しています。業界は技術的な知見を共有し、政府は可視性をもたらします。そして、その情報を交換するための信頼できる手段が必要です。同じ全体像に基づいて取り組むことによってのみ、私たちは攻撃者の先を行き、個々のツールだけでなく、サイバー犯罪を可能にしているシステムそのものを妨害できます。
サイバー犯罪への継続的な圧力をかける
この取り組みは、1 回の措置で終わるものではありません。サイバー犯罪者は素早く適応します。だからこそ私たちは、こうした活動がどのように進化していくかを追跡し続け、パートナーと協力してそれらを妨害しています。
本件におけるマイクロソフトの裁判所の許可を得た妨害措置は、サイバー犯罪者がどのように立て直すかを追跡し、新たなインフラを特定し、彼らが活動のために依存しているサービスを妨害するためにパートナーと協力する、継続的な取り組みと組み合わされています。さらに、この妨害から得られた知見を、悪意のあるドメインやインフラの除去を加速するマイクロソフトの Statutory Automated Disruption プログラムのような取り組みに取り入れることも含まれます。
目標は、1 つの活動を止めることだけではなく、攻撃を仕掛け、規模を拡大し、立て直すことを難しくすることで、サイバー犯罪の仕組みに圧力をかけ続けることです。AI による知見、法的措置、そして強固なパートナーシップを組み合わせることで、私たちはサイバー犯罪者にとってのコストを引き上げ続け、その影響を減らすことができます。
マイクロソフトのデジタル犯罪対策ユニット (DCU) は 10 年以上にわたり、サイバー犯罪や国家が関与する脅威の妨害に取り組み、2008 年以降およそ 40 件の訴訟を提起し、犯罪ネットワークを摘発するため法執行機関と連携してきました。チームの取り組みについて詳しくは、こちらをご覧ください。
———————————
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由、背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。