REvil・GandCrabの首謀者をドイツ当局が特定——ランサムウェア産業の「経営者」たちはいま何をしているのか

ドイツ連邦警察（BKA）が、GandCrabおよびREvil（別名：Sodinokibi）というふたつの大型ランサムウェアグループの首謀者を特定した。いずれもロシア国籍で、31歳のダニイル・シュチュキン（別名：UNKN/UNKNOWN）と43歳のアナトリー・クラフチュクの2名だ。2019年初頭から2021年7月まで、両グループを率いてドイツ国内だけで130件以上の恐喝事件を引き起こし、被害総額は4000万ドルを超えるとされている。

GandCrabからREvil——ランサムウェア「業界」の継承構造

GandCrabは2018年初頭に登場し、わずか1年半で2億ドルの稼ぎを主張して「引退宣言」を行った異色のグループだ。リーダーは1億5000万ドルを合法的ビジネスに投資したと述べ、表向きは活動を終えた。

しかしその後すぐに登場したのがREvil（Sodinokibi）だ。GandCrabの元アフィリエイト（加盟者）や運営者が戦術をそのまま引き継ぎ、さらに「リークサイト」や「データオークション」という新たな脅迫手法を加えて進化させた。注目すべき被害事例はテキサス州複数自治体、PC大手Acer、そして約1,500社以上に波及したKaseyaサプライチェーン攻撃など、枚挙にいとまがない。

2022年初頭にロシアが複数のREvil構成員を逮捕したが、2025年には釈放されている。今回特定された2名の現在の動向は不明のままで、BKAはEUの指名手配ポータルへの掲載と、タトゥー写真を含む顔写真の公開によって情報提供を呼びかけている。

実務への影響——「犯人が誰か」より「仕組みがどう機能したか」を見よ

この事件が示す最大の教訓は、RaaSモデル（Ransomware-as-a-Service）の強靭さだ。首謀者が逮捕または引退しても、アフィリエイトは戦術と道具を引き継いで次のグループを立ち上げる。今回のGandCrab→REvil継承がまさにその典型だった。

日本のIT管理者が明日から意識すべき実務ポイントは以下のとおりだ。

1. サプライチェーン攻撃への備えを最優先に Kaseya事件では直接の顧客だけでなく、MSPを経由した1,500社超が被害を受けた。自社が直接攻撃されなくても、利用しているSaaSやMSPが踏み台になるリスクを認識し、ベンダーのセキュリティ評価を定期的に実施すること。

2. 特権アクセスの「常時付与」をやめる REvil系の攻撃は、侵入後に特権アカウントを掌握して横展開するパターンが定石だ。Just-In-Time（JIT）アクセスを採用し、必要なときだけ必要な権限を付与する設計に切り替えることが、被害拡大を食い止める最前線になる。

3. バックアップ戦略の再検証 ランサムウェアはバックアップも狙う。オフラインバックアップ、またはイミュータブルストレージへの定期保存は、身代金交渉のテーブルに座らないための唯一の保険だ。

筆者の見解

正直に言えば、セキュリティ分野は細かい議論が多くて得意ではない。だが今回の件は技術的に非常に興味深い。

首謀者が特定された、というニュースは確かに意味がある。ただ、両者がロシアにいる限り実質的な逮捕・訴追は難しいのが現実だ。国際的なサイバー犯罪捜査は、政治的な対立構造の壁を越えられない場面が多い。「顔写真を公開して情報を求める」という段階にとどまっているのが現状を物語っている。

それ以上に重要なのは、RaaSという「フランチャイズモデル」が今も機能し続けているという事実だ。首謀者を追い詰めても、モデルそのものが生き残る。GandCrabがREvil に引き継がれたように、REvil以降もまた別の名前で同じ仕組みが動いている。

日本企業の現場では、「今は攻撃を受けていないから大丈夫」という空気がまだ根強い。しかし被害が表面化していないのと、対策が有効なのはまったく別の話だ。侵入はすでに起きていて、ただまだ発動していないだけかもしれない——そのくらいの前提で設計する姿勢が、これからのセキュリティには必要だと思っている。

出典: この記事は German authorities identify REvil and GandCrab ransomware bosses の内容をもとに、筆者の見解を加えて独自に執筆したものです。