サイバー犯罪組織のレジリエンス ~ なぜテイクダウンしても再生するのか? | ScanNetSecurity
2025.10.24(金)

サイバー犯罪組織のレジリエンス ~ なぜテイクダウンしても再生するのか?

はじめに、攻撃者の組織構造を調査研究することが重要です。サイバー犯罪は高度に組織化されており、コミュニティが組織に変貌した際に持つ「役割・役職」「タスク」「規模」などがレジリエンスの要素です。リレーションシップは組織の行動パターンを特徴づけ、犯罪者グループの行動を予測し、防御に役立てる手がかりとなるため、メンバー間の関係性の研究が必要です。

国際 海外情報
左:ジーン・キャンプ氏/右:ダリヤ・マナトバ氏
左:ジーン・キャンプ氏/右:ダリヤ・マナトバ氏 全 4 枚 拡大写真

 一匹狼の天才ハッカーが行うサイバー攻撃は映画の中のファンタジーである。実際は詐欺集団や犯罪組織の構成員が生業として、あるいは上から課されたノルマ達成のために、おそらくは東京の通勤電車に揺られてでもいるかのような遠い目をしてサイバー攻撃を行っているのが現実かもしれない。今回は、こうしたサイバー犯罪組織の「組織構造」を調査研究した講演をレポートする。

 インディアナ大学のダリヤ・マナトバ氏とジーン・キャンプ氏は、社会学的な見地からランサムウェアギャングの組織の研究を行った。その研究成果は、 Black Hat USA 2024 で発表された。どんな内容だったのか。

●潰しても潰しても復活

 二人の論文によらずとも、すでにサイバー犯罪の世界は、高度に組織化されていることは周知のとおり。言い方を変えれば、手法はコモディティ化さえしている。プロセスは調整され、グループごとに標準化されている。防御技術や摘発にも柔軟に対応し、レジリエンス性も高い。これまで幾度となく、犯罪者のECサイトやボットネット、RaaSプラットフォームが摘発・解体されてきた。しかし、ほどなく(というかすぐに)別のサイトやプラットフォーム、グループが立ち上がる。

 注目したいのは、この組織としての驚異的レジリエンスだ。これまで、犯罪者グループやサイバーギャングたちの摘発で、マルウェアやメンバーの一部を引き継いだ類似サイトやグループが立ち上がるのは、「コミュニティ」が引き継がれるという認識で分析がされていた。しかし、解体・離散・集結を繰り返すうち、コミュニティは組織となり、運営方法やグループの社会構造は変わってきたと二人は主張する。

 コミュニティと組織の違いとは何か? 組織にはコミュニティにはない(または明確でない)「役割・役職」「タスク」「規模」「スコープ」「ソーシャルネットワーク」が存在する。そして、これらが有機的に働くことで、環境に適応する能力(レジリエンス)も備わるのである。コミュニティにレジリエンスがないといっているわけではない。組織構造やしくみに依存した適応や進化があるということだ。


《中尾 真二( Shinji Nakao )》

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  2. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  3. 廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

    廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

  4. アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

    アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

  5. 大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

    大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

ランキングをもっと見る
PageTop