ランサムウェアのニュースを「またハッカーか」で流すと、いちばん大事な場所を見落とします。今回の本題は、攻撃そのものよりも、盗んだお金を使えるお金に変える“出口”です。
日本を含む各国の捜査当局は、身代金要求型ウイルス=ランサムウェアグループなどの資金洗浄に使われていた暗号資産サービスの管理者2人を国際共同捜査で逮捕しました。ユーロポール=欧州刑事警察機構の発表によりますと、逮捕されたのはロシア国籍とウクライナ国籍の男2人で、6月10日にジョージアで身柄を拘束されました。2人はランサムウェアグループが不正に得たビットコインなどの暗号資産を「AudiA6」と呼ばれるサービスを使って、複数のアドレスに移すなどして資金の流れをわかりにくくする手口で2022年から20…
今回の登場人物
ランサムウェアは、企業や病院などのデータを暗号化して「元に戻したければ身代金を払え」と迫るタイプの不正プログラムです。データを人質に取るので、名前は物騒ですが仕組みはかなりビジネスっぽい。悪い意味で、請求書まできっちりしています。
暗号資産は、ビットコインなどインターネット上でやり取りされる資産です。送金が速く、国境をまたぎやすい一方、取引の追跡や本人確認が弱い場所を通ると、犯罪収益の移動にも使われます。
マネーロンダリングは、犯罪で得たお金の出どころを分かりにくくする行為です。泥のついた靴を、玄関マットで何度もこすって「きれいです」と言い張るようなものです。靴底はまだ泥だらけです。
ユーロポールは、欧州の各国警察が協力するための機関です。国境をまたぐ犯罪では、ひとつの国だけで追うと途中で線が切れます。そこで国際共同捜査が必要になります。
何が起きたか
FNNは、日本を含む各国の捜査当局が、ランサムウェアグループなどの資金洗浄に使われた暗号資産サービスの管理者2人を国際共同捜査で逮捕したと報じました。ユーロポールの発表として、2人は2026年6月10日にジョージアで身柄を拘束されました。
報道によると、問題のサービスは「AudiA6」と呼ばれ、ランサムウェアグループが不正に得たビットコインなどを複数のアドレスに移し、資金の流れを分かりにくくする手口に使われた疑いがあります。金額は日本円で約622億円以上とされています。
ここで大事なのは、622億円という数字を「すごい大金だ」で終わらせないことです。もちろん大金です。財布に入れたら財布が先に謝る額です。ただ、この記事で見るべきは額面の迫力ではありません。犯罪組織が、攻撃で得た暗号資産をどう動かし、どう見えにくくし、どう使える形に近づけるのか。その途中の“洗濯機”が摘発された可能性です。
ここが本題
ランサムウェア対策は、入口を守るだけでは足りません。入口とは、メールの添付ファイルを開かせない、脆弱なシステムを放置しない、バックアップを取る、といった防御です。これはもちろん重要です。玄関の鍵です。
でも、犯罪グループにとって本当に困るのは、稼いだ身代金を使えないことです。盗んだ暗号資産が、いつまでも追跡される状態のままなら、買い物にも投資にも仲間への分配にも使いにくい。つまり、出口が詰まるとビジネスとしての魅力が落ちます。
今回の摘発の意味はここにあります。サイバー犯罪を「画面の中の戦い」と考えると、攻撃コードやウイルス名ばかり追いがちです。しかし、犯罪は最後にお金へ戻ります。お金へ戻る通路を狭くすることは、攻撃者の採算を崩す対策になります。
深掘り前半
ランサムウェアの身代金は、暗号資産で要求されることがよくあります。理由は単純で、国境をまたいだ送金がしやすく、銀行のような口座凍結や本人確認の網にかかりにくい場所を選べるからです。ただし、暗号資産は完全な透明マントではありません。多くの取引はブロックチェーン上に記録されます。
では、なぜ洗浄サービスが必要になるのか。記録が残るなら、そのままでは「このアドレスからこのアドレスへ動いた」という線をたどられます。そこで、複数のアドレスへ分ける、ほかの資金と混ぜる、何段階も移す、といった手口で、資金の出どころを読みにくくします。
たとえるなら、赤いビー玉を袋に入れて、何度も別の袋へ移し、途中で青や黄色のビー玉も混ぜるようなものです。最後に赤いビー玉だけを見つけるのが難しくなります。ただ、袋を移した記録や、混ぜた場所の管理者が見つかれば、逆にそこが捜査の足場になります。
今回の報道で「管理者」が逮捕された点は重いです。末端の攻撃者をひとり捕まえるだけでは、別の攻撃者がまた現れます。しかし、犯罪収益を洗うサービスが使いにくくなると、複数のグループに影響します。道路でいえば、車1台を止めるのではなく、料金所の不正レーンを閉じるような話です。
深掘り後半
日本の読者にとっても、これは遠い話ではありません。ランサムウェアの被害は、企業のシステム停止、病院の診療制限、自治体サービスの遅れ、取引先への波及として現れます。攻撃者が海外にいても、止まるのは日本の現場です。画面の向こうで起きたことが、こちらの窓口の行列になる。サイバーの話は、だいたい最後に紙の掲示と電話対応へ落ちてきます。
もうひとつ大事なのは、「暗号資産そのものが悪い」と短絡しないことです。問題は、匿名性や越境性を悪用する通路です。包丁が料理にも犯罪にも使われるのと同じで、技術の性質と犯罪の使い方は分けて見ないと、対策が雑になります。
必要なのは、取引所や関連サービスの本人確認、疑わしい取引の監視、各国当局の情報共有、被害企業の通報、そして支払いに頼らない復旧体制です。どれか一つで決着する話ではありません。サイバー犯罪は分業制なので、防御も分業制でないと追いつきません。
それで何が変わるのか
今回の摘発でランサムウェアが消えるわけではありません。そこまで話を盛ると、セキュリティの神棚にお供え物を置く感じになります。現実はもっと地味です。ひとつの洗浄ルートが使いにくくなり、攻撃者が別のルートを探す。そのたびに捜査側も追う。いたちごっこです。
ただし、いたちごっこにも意味はあります。犯罪のコストを上げ、現金化の不確実性を高め、協力者にリスクを感じさせる。これが積み重なると、攻撃の採算が悪くなります。サイバー防衛は、派手な一撃で勝つより、相手の商売をじわじわ面倒にする戦いです。
企業や自治体にとっては、入口対策と同時に「被害後に払わず戻せる準備」が重要になります。バックアップ、復旧訓練、委託先を含む連絡体制、警察や専門機関への相談ルート。これらがあるほど、攻撃者の請求書はただの怖い紙に近づきます。
ここで読者が持っておくとよい視点は、「払えば終わる」は終わりではない、ということです。身代金を払っても、データが必ず戻る保証はありません。戻ったとしても、情報が盗まれている可能性は残ります。さらに、支払いが次の攻撃の資金になることもあります。もちろん、現場では事業継続や人命に関わる判断があり、外から簡単に断罪できる話ではありません。ただ、だからこそ平時の準備が要ります。追い込まれてから正解を探すのは、試験開始後に教科書を買いに行くようなものです。
個人にも関係があります。会社の端末だけでなく、家庭のパスワード使い回し、古いルーター、怪しい添付ファイル、二段階認証の未設定が、攻撃の入口になることがあります。巨大な国際捜査のニュースは遠く見えますが、最初の一歩は案外、誰かがメールを一通開いたところです。大事件の玄関マットが、普通の受信箱に敷かれていることがあります。
まとめ
今回のニュースの中心は、約622億円という数字の大きさではありません。ランサムウェア犯罪の利益を、どこで洗い、どこで使える形にするのか。その出口に国際捜査が手を伸ばした点です。
攻撃を防ぐことは必要です。でも、犯罪者がお金を受け取りにくくすることも同じくらい必要です。入口の鍵と出口の詰まり。この両方を見て初めて、ランサムウェア対策は「怖いニュース」から「現実に効く対策」へ変わります。