国際的なサイバー犯罪対策作戦「Operation Endgame」が、2026年6月24日に新たな成果を上げた。Ars TechnicaのDan Goodin記者が報じたところによると、Microsoftや欧州刑事警察機構(Europol)を中心とする公民連携チームが、広く悪用されてきたマルウェア2種を同時に無力化することに成功した。日本からは三井物産セキュアディレクションも連携企業として参加している。
Amadey と StealC——サイバー犯罪の「分業モデル」
Ars Technicaの報道によれば、今回の作戦が標的としたのは次の2ツールだ。
Amadeyは2018年以降に確認されているMaaS(Malware-as-a-Service)プラットフォームで、デバイスへの侵入とランサムウェア等の悪意あるペイロード配信を担う「入口」の役割を果たす。昨年はGitHubを悪用して感染端末から情報収集していたことも確認されている。
StealCはIaaS(Infostealer-as-a-Service)として機能し、認証情報・Cookieの奪取・暗号資産ウォレットの窃取・ブラウザ拡張機能の情報収集などを行う「収穫」担当ツールだ。
2つのツールは別々の組織が運営しているが、同一犯罪グループが両方を組み合わせて使うケースが多く、「侵入→窃取」という分業型の犯罪アセンブリラインを形成していた。
AIが見抜いた「共通インフラ」——RICOを適用し同時無力化
Microsoftの発表によれば、同社はAIを活用した分析により、Amadeyと StealCが共通のインフラを一部共有していることを突き止めた。この発見が作戦の核心となった。
Microsoftの弁護チームはRICO法(組織犯罪対策法)を援用し、2つの別個ツールを「単一の共謀」として法的に扱えるよう裁判所命令を取得。これにより、200台超のC&Cサーバー遮断と1万8000台超の感染端末の制御権奪還を同時に実現した。
Europolのまとめによれば、今回の作戦全体では326台のサーバーと142ドメインを封鎖。最大2700万件の盗難ログイン情報を回収し、約4700万ドル相当の犯罪由来の暗号資産も押収している。
さらに今回の「Operation Endgame」では、ロシア系サイバー犯罪組織Evil Corpが関与するマルウェアローダー「SocGholish」も並行して対処。改ざんされたWordPressサイトを通じて偽ブラウザ拡張機能を配布する手口で、Europolは感染サイトのクリーニングとサイト管理者への通知を実施した。
連携企業はMicrosoftのほか、ESET、Proofpoint、IBM X-Force、Bitsight、そして三井物産セキュアディレクション(日本)が名を連ねている。
日本市場での注目点
日本からの唯一の参加企業として三井物産セキュアディレクションが名を連ねている点は、国内セキュリティ業界にとって注目に値する。同社がどのような情報提供・技術支援を行ったかの詳細は現時点では公表されていないが、グローバルな脅威インテリジェンス共有の文脈で日本企業が存在感を示した形だ。
今回回収された2700万件の認証情報には日本語圏ユーザーのものも含まれている可能性がある。Amadey・StealCはグローバルに展開されたマルウェアであり、日本国内の企業や個人が感染被害を受けていた可能性は否定できない。Europolは被害者通知を進めているとしており、今後、国内のCERTや警察庁サイバー警察局からの情報提供が行われる可能性がある。
StealCが狙う「認証情報・暗号資産ウォレット・ブラウザ保存パスワード」は日本ユーザーにも直撃するリスクがある。パスワードマネージャーの活用、ブラウザへの認証情報保存を避ける運用の見直しを改めて検討する良い機会だ。
筆者の見解
MicrosoftがAIを活用して2つの独立したツールのインフラ重複を見抜き、RICO法の適用へとつなげた判断は、セキュリティ対策における「AI活用の現実的な成果」として評価に値する。「AIで何ができるか」という抽象論ではなく、脅威分析→法的戦略→物理的な遮断という一連のパイプラインにAIを組み込んだ点が重要だ。
一方で、こうした作戦の本質的な限界も見ておきたい。Amadeyは2018年から8年間にわたって活動しており、今回の遮断はあくまで現時点のインフラを無力化したにすぎない。サービス自体を提供する組織の壊滅ではなく、インフラ破壊による「摩擦の増大」が目的と言える。Europolも「攻撃を成功させ、拡散させ、回復させることをより困難にする」という表現を使っており、根絶ではなく抑止のアプローチだ。
公民連携のフレームワークが成熟してきたことは確かで、ESET・Proofpoint・IBM・三井物産セキュアディレクション・Bitsightといった民間企業がEuropolと連携して作戦を実行する体制は、サイバー犯罪対策の新しいモデルとして注目に値する。この種の連携が継続的に機能する「仕組み」として定着するかどうかが、中長期的な評価ポイントになるだろう。
出典: この記事は One-two punch delivered in global operation disrupts cybercrime “assembly line” の内容をもとに、筆者の見解を加えて独自に執筆したものです。