摘発の数日後に「再起動」したドイツ最大の闇市場、スペインで管理者逮捕——サイバー犯罪インフラの驚異的な回復力と国際連携の進化

2024年末、ドイツ史上最大規模のサイバー犯罪マーケットプレイス「Crimenetwork」が当局に摘発された。ところがその数日後、新たな管理者が同名の新インフラを立ち上げ復活。しかし今回、法執行機関の対応は以前より格段に速かった。この事案は、ダークウェブ犯罪インフラの「不死性」と、それに対抗する国際連携の進化を同時に示す好例だ。

Crimenetworkとはどんな存在だったか

2012年から運営されていたCrimenetworkは、登録ユーザー10万人を抱えるドイツ最大のオンライン犯罪市場だった。不正アクセスツール、盗まれた認証情報、各種違法物質、フィッシングサービスなど、サイバー犯罪に必要な「素材」がワンストップで揃う闇のマーケットとして機能していた。

2024年12月、フランクフルト検察庁、サイバー犯罪対策中央局（ZIT）、連邦刑事警察局（BKA）の合同作戦によってプラットフォームが押収され、管理者の一人が逮捕。2026年3月には元の運営者に懲役7年10カ月と1000万ユーロ超の没収命令が下された（未確定）。

驚異の「数日リブート」と即時再摘発

問題はその後だ。旧版の摘発から「数日」というあり得ないスピードで、別の人物が新しいインフラを構築し、同じ名称で再出発した。新版は短期間で22,000人のユーザーと100社以上のベンダーを獲得し、少なくとも360万ユーロ（約6億円）の収益を上げたとされる。

今回の再摘発では、欧州逮捕状（European Arrest Warrant）が活用され、スペイン・マヨルカで35歳のドイツ人男性が特殊部隊によって身柄を確保された。押収資産は約19万4,000ユーロ（約3,200万円）。さらに大量のユーザーデータとトランザクション履歴が取得されており、この情報をもとにした連鎖的な捜査が進むとみられる。

なぜこれが重要か——「インフラ摘発」の限界と進化

犯罪マーケットプレイスは、本質的にソフトウェアとデータの組み合わせだ。物理的な拠点を必要としないため、サーバーを変えれば数日で復活できる。AlphaBay、Hansa、Hydraなど、歴代の大型摘発の後にも「後継」が現れてきた歴史がある。

一方で今回注目すべきは、法執行機関側の対応速度と国際連携の精度が明らかに向上している点だ。新版がわずか数カ月で解体されたのは、BKAが旧版から入手したデータと捜査ネットワークを即座に転用できたからだと考えられる。ダークウェブ上でも「前歴情報」は残る。

実務への影響——日本企業のデータは今も取引されている

こうした市場の存在は、遠い海外の話ではない。

認証情報の流出確認を習慣化する: 日本企業の社員アカウントやVPN認証情報が、こうした市場で売買されているケースは珍しくない。Have I Been Pwned などのサービスや、セキュリティベンダーが提供するダークウェブモニタリング機能を活用し、自社ドメインの認証情報流出を定期的に確認することが基本的な衛生管理として機能する。

「摘発されれば安全」ではない: Crimenetworkの再起動が示すように、特定のマーケットが消えても代替はすぐ現れる。特定の脅威プラットフォームの消滅に安堵するのではなく、「盗まれた認証情報が流通することを前提とした」多層防御の設計が求められる。

NHI（Non-Human Identity）管理の重要性: サービスアカウント、APIキー、自動化スクリプトの認証情報も取引対象だ。これらは人間のアカウントより見落とされやすく、かつ検知が遅れる。NHIのライフサイクル管理と最小権限原則の徹底は、この種の脅威に対する実効性の高い対策となる。

Just-In-Timeアクセスの導入: 常時有効な特権アカウントは、流出した場合の被害が最大化する。アクセスを必要なときだけ付与し、使用後は自動的に失効させる仕組みが、盗まれた認証情報の悪用を大幅に抑止する。

筆者の見解

今回の事案で印象的なのは、犯罪側の「再起動速度」よりも、当局側が「次の管理者」に対しても即座に動けた点だ。旧版の摘発時に取得したデータと捜査基盤が、新バージョンへの対応をここまで加速させた。法執行機関のサイバー犯罪対応は、インフラ戦争としての性格を強めている。

もっとも、根本的な構造——犯罪サービスへの需要と、匿名インフラの低コスト構築可能性——は変わっていない。個別マーケットの摘発は必要だが、それだけで犯罪エコシステム全体を止めることはできない。

日本の企業セキュリティの観点では、「こういうマーケットが存在し、自社のデータが流通している可能性がある」という現実認識から出発することが大事だ。セキュリティを「禁止と制限」で固めるアプローチは限界があり、流出を前提とした検知・対応の仕組み作りにシフトする時機はとっくに来ている。ダークウェブの犯罪インフラが数日で再起動できるなら、こちらの検知・対応体制も同じ速度で機能しなければ意味がない。

出典: この記事は Police shut down reboot of Crimenetwork marketplace, arrest admin の内容をもとに、筆者の見解を加えて独自に執筆したものです。