INTERPOLが「Operation Ramz」でフィッシング・マルウェアサーバー53台を押収——中東・北アフリカ13か国で200人超を逮捕

INTERPOLは2026年5月、中東・北アフリカ地域を対象にしたサイバー犯罪摘発作戦「Operation Ramz」の成果を発表した。フィッシング・マルウェア・オンライン詐欺に使われていたサーバー53台を押収し、200人超を逮捕。さらに13か国で382人を新たな容疑者として特定している。

作戦の規模と成果

今回の対象となったのは、アルジェリア・バーレーン・エジプト・イラク・ヨルダン・レバノン・リビア・モロッコ・オマーン・パレスチナ・カタール・チュニジア・UAE の13か国。押収した機器から回収した約8,000件の情報パッケージを解析した結果、少なくとも3,867人の被害者が確認されている。

INTERPOLは「この作戦はフィッシングやマルウェアの脅威の無力化に加え、この地域に深刻な経済的損害をもたらすサイバー詐欺の撲滅に焦点を当てた」と声明を出している。

各国で明らかになった犯罪の実態

各国で押収・摘発された事例は、サイバー犯罪の多様化と組織化を如実に示している。

カタール: 知らぬ間にマルウェア配布に利用されていた一般市民の端末を特定・保護した。

ヨルダン: 投資詐欺を組織的に運営するネットワークを解体。アジアから人身売買された15人の労働者が詐欺業務を強制実行させられていたことが判明し、主犯格2人を逮捕した。

オマーン: 機密データを含む脆弱なマルウェア感染サーバーを無効化した。

アルジェリア: フィッシングをサービスとして提供する「PhaaS（Phishing-as-a-Service）」プラットフォームを閉鎖し、容疑者1名を逮捕した。

モロッコ: フィッシング操作に関連する端末および銀行データを押収し、複数の容疑者が司法調査下に置かれた。

官民連携が解体の鍵

今作戦で注目すべき点は、INTERPOLが複数の民間サイバーセキュリティ企業と連携して悪意のあるインフラを追跡した点だ。Kaspersky・Group-IB・The Shadowserver Foundation・Team Cymru・TrendAI が協力し、法執行機関だけでは追いきれない技術的な追跡を担った。

こうした官民パートナーシップは、現代のサイバー犯罪捜査において不可欠な構造になりつつある。攻撃者がクラウドインフラや国境を越えた分散型インフラを使う以上、国家単独の法執行には限界がある。

今年3件目の大規模摘発——グローバルな取り組みが加速

Operation Ramz は、INTERPOLが今年（2026年）完了した3件目の大規模サイバー犯罪摘発作戦となる。

• 2月「Operation Red Card 2.0」: アフリカ16か国で651人逮捕。投資詐欺・モバイルマネー詐欺・偽ローンアプリが対象で、被害額は計4,500万ドル超。
• 3月「Operation Synergia III」: 72か国にわたる作戦で、悪意あるIPアドレス4万5,000件をシンクホール化、212台のデバイス・サーバーを押収し94人を逮捕。
• 5月「Operation Ramz」: 今回の中東・北アフリカを中心とした作戦。

一連の作戦を並べてみると、INTERPOLが地域を変えながら組織的にサイバー犯罪インフラを潰す戦略を取っていることがわかる。

実務への影響——日本のエンジニア・IT管理者が知っておくべきこと

「中東での話だから関係ない」と思ったら危険だ。今回押収されたフィッシング・マルウェアのインフラは、地理的な境界を問わず日本企業のユーザーを標的にできる。特に以下の点を日常業務に取り込んでほしい。

フィッシング対策の再確認: PhaaS（フィッシング・アズ・ア・サービス）の摘発が今回も含まれていた。攻撃者がサービスとして詐欺インフラを「レンタル」できる現在、攻撃の敷居は下がる一方だ。メールフィルタリング・多要素認証（MFA）・セキュリティ意識向上トレーニングは基本中の基本として維持すること。

インフラの可視化: 「知らぬ間にマルウェア配布に使われていた端末」がカタールで見つかったように、自社の端末・サーバーが攻撃インフラの一部として悪用されるリスクは現実にある。EDR（エンドポイント検出・対応）ツールの導入と、定期的なアウトバウンド通信のレビューが有効だ。

サプライチェーン・人的リスクの認識: ヨルダンの事例では、人身売買された労働者が詐欺業務を強制されていた。サプライチェーン上のパートナー企業の倫理的側面まで考慮に入れるセキュリティ評価が重要になっている。

官民連携の活用: Shadowserver Foundation のような非営利組織は、悪意あるインフラに関する情報を無償で提供している。自社のIPアドレスレンジを登録してアラートを受け取るだけでも、初動対応のスピードが変わる。

筆者の見解

サイバー犯罪に対する国際的な法執行の動きが、ここ数年で明らかに加速している。今回のOperation Ramzが示す最も重要な変化は、「技術力を持つ民間企業と法執行機関が組んで犯罪インフラを解体する」モデルが本格的に機能し始めたことだ。Kaspersky・Group-IB・Shadowserver といった組織が情報提供し、INTERPOLが法的執行力を行使するこの構造は、今後のサイバー犯罪対策の標準形になるだろう。

一方で、今回見えてきた課題も看過できない。PhaaS（フィッシング・アズ・ア・サービス）のようなサービス化が進むことで、技術力の低い攻撃者でも高度なフィッシングキャンペーンを展開できる状況が定着しつつある。サーバーをいくつ押収しても、インフラがクラウド上に瞬時に再構築できる現在、「摘発のイタチごっこ」から根本的に抜け出すには、攻撃インフラへの資金流入を断つ金融面でのアプローチが不可欠だと感じる。

日本のIT現場に目を向けると、セキュリティ対策がまだ「境界防御」の発想から抜け出せていない組織が多い。今回押収されたサーバーのような外部インフラが実際に自社ユーザーを狙っているとき、VPNベースの「内側は安全」という思想では対処しきれない。ゼロトラスト的な発想——すべての通信を検証し、最小権限で動かす——への移行を、今こそ本気で進めるべきタイミングだ。理論としてはわかっているはずの組織も、実際の移行が止まっているケースが多い。今回のような事例を「遠い国の話」で終わらせず、自社の設計を見直すきっかけにしてほしい。

出典: この記事は INTERPOL ‘Operation Ramz’ seizes 53 malware, phishing servers の内容をもとに、筆者の見解を加えて独自に執筆したものです。