米司法省は、米国企業へのランサムウェア攻撃を支援し36億円超の被害に関与したロシア国籍の「イニシャルアクセスブローカー(IAB)」に禁錮81カ月の実刑判決を下しました。Cisco等を狙ったYanluowang攻撃の背後にある「初期侵入の販売」の実態と、情シス部門が取るべき防衛策を解説します。
【30秒でわかる本記事の概要】
米司法省は2026年3月23日、米国企業等へのサイバー攻撃を支援していたロシア国籍のアレクセイ・ボルコフ被告に対し、禁錮81カ月の実刑判決を下した
被告は自らランサムウェアを実行するのではなく、企業ネットワークへの「初期侵入経路」を不正に取得して販売する「イニシャルアクセスブローカー(IAB)」として暗躍していた 。
米IT大手Ciscoへの侵入でも知られる「Yanluowang」ランサムウェアグループなどにアクセス権を売り渡し、約13億7000万円の実被害と約36億円超の意図された被害総額に関与した 。
事件の概要:イタリアでの逮捕から米国での実刑判決まで
米司法省によると、インディアナ州南部地区連邦裁判所は、ロシア国籍のアレクセイ・ボルコフ被告(26歳・サンクトペテルブルク出身)に対して81カ月(6年9カ月)の禁錮刑を言い渡しました 。
被告はイタリアのローマで地元警察により逮捕された後に米国へ引き渡され、2025年11月25日に「身元情報の不法譲渡」「アクセス情報の不正取引」「コンピュータ詐欺の共謀」「マネーロンダリングの共謀」などの罪で有罪を認めていました 。
裁判資料では、被告が関与した数十件のランサムウェア攻撃による**実際の被害額(Actual losses)は少なくとも916万7,198ドル(約13億7000万円)に上り、攻撃者側が意図または要求した被害総額(Intended losses)は2,400万ドル(約36億円)**を超えるとされています 。被告は被害者への全額賠償と、犯行に使用した機器の没収にも同意しています 。
この事件が示しているのは、サイバー犯罪が単独犯によるものではなく、アクセス取得、マルウェア展開、恐喝、資金洗浄といった工程ごとに役割分担された**「分業型のエコシステム」**として成立している実態です。今回の判決は、その中でも攻撃の出発点を支える初期侵入ブローカーが司法当局から重く見られていることを裏付けています。
イニシャルアクセスブローカー(IAB)とは何か
今回の事件を理解するうえで極めて重要なのが、**イニシャルアクセスブローカー(Initial Access Broker:IAB)**という存在です。
IABとは、企業や組織のネットワーク、サーバー、VPN、RDP環境などへの「初期の侵入経路(アクセス権)」を不正に確保し、それをランサムウェア攻撃者や他のサイバー犯罪者へ販売する専門の仲介業者を指します 。
IABは、自ら最終的な暗号化や身代金要求を行わない場合でも、攻撃の入口を提供することで大きな利益(身代金の分け前など)を得ます 。ランサムウェア攻撃者にとっては、侵入までの時間と手間を大幅に省けるため、購入したアクセス権をもとに即座に以下の深刻なプロセスへ進むことが可能になります。
ネットワーク内での横展開(ラテラルムーブメント)
管理者権限(クレデンシャル)の窃取
機密データの持ち出し(流出)
システムの暗号化
IABが初期アクセスを得る典型的な手法には、**「未パッチのVPN機器やRDPの脆弱性悪用」「フィッシング」「漏えい済み認証情報を使った不正ログイン(クレデンシャルスタッフィング)」**などがあります 。こうした攻撃は高度なゼロデイ攻撃だけで成立するものではなく、基本的な脆弱性管理や認証対策の不備を突くケースが多いため、企業の防御側にとっても対策の優先順位が明確な領域です。
Yanluowangランサムウェアとの関係
米司法省の発表では、ボルコフ被告がアクセス権を提供した主要なサイバー犯罪組織の一つとして**「Yanluowang(閻羅王:エンラオワン)」**ランサムウェアグループが挙げられています 。Yanluowangは2021年後半に確認されたランサムウェアで、金融、製造、ITサービスなどを含む西側諸国の大企業を狙った標的型攻撃で知られています。特に広く注目を集めたのが、2022年に表面化したCiscoへの侵入事案です。
同グループの攻撃手法には、以下のような極めて悪質な特徴があります。
重要プロセスの停止:暗号化前にVeeam(バックアップ)やSQL関連の重要プロセスを強制停止させ、被害者の復旧や業務継続を困難にする。
多層的な脅迫(二重脅迫):身代金を支払わなければ窃取データを公開すると脅すだけでなく、従業員や取引先への接触、DDoS攻撃の示唆など、圧力を多層化する傾向がある。
偽装と実態:名称は中国の神(閻魔大王)に由来し中国系を想起させますが、内部チャットの流出により、実際にはロシア語話者の犯罪者が関与していたとみられています。
情報システム部門が注目すべきポイントと取るべき対策
今回の事件が示しているのは、「ランサムウェア対策を暗号化実行の局面だけで考えるのでは不十分である」ということです。
被害の出発点は、企業ネットワークに売買可能な侵入経路を作られてしまうことにあります 。初期侵入を許した時点で、後続の攻撃者に環境を引き渡す土台ができてしまいます 。情報システム部門は、侵入後対策だけでなく「初期侵入を許さない体制整備」として、以下の対策を講じる必要があります。
多要素認証(MFA)の徹底と従業員教育
認証情報が漏えいした場合でも、単一パスワード認証に依存していなければ侵入成功率を大きく下げられます。ただし、MFAを導入するだけでは不十分で、Ciscoの事例でも見られた「MFA疲労攻撃(MFA fatigue:認証要求を連続で送りつけ誤って許可させる手口)」のような承認誘導にも注意が必要です。従業員が不審な認証要求に安易に応じないよう、運用ルールと教育をセットで整備する必要があります。
インターネット公開機器の脆弱性管理
IABは既知の脆弱性を持つVPN装置やリモート接続基盤(RDPなど)を継続的に探索しており、公開面の小さな設定ミスや更新遅れが重大インシデントの入口になります 。パッチ適用の遅延を防ぐだけでなく、不要な公開の停止やアクセス元制限も含めて早急に見直すべきです。
脅威インテリジェンスと検知体制(EDR/MDR)の活用
自社ドメイン、認証情報、VPNアクセス、リモート接続環境などが地下市場やダークウェブのフォーラム上で「売買対象」になっていないかを脅威インテリジェンスを用いて把握できれば、被害発生前の早期対応につながります。
加えて、EDR(Endpoint Detection and Response)やMDR(Managed Detection and Response)などを活用し、侵入後の異常な横展開や不審な権限利用を早期検知できる体制を常時維持することが求められます。IABの存在を前提にすると、侵害の痕跡を確認した際には、単発の不正アクセスではなく、二次被害や後続侵入を見据えた対応が必要です。
まとめ
米司法省による今回の実刑判決は、ランサムウェア被害の背後で活動する「イニシャルアクセスブローカー(IAB)」が、企業被害の拡大において極めて重要な役割を果たしていることを改めて示しました 。攻撃の本質は暗号化そのものではなく、その前段で企業ネットワークへの入口が商品として流通している点にあります 。
情報システム部門としては、ランサムウェア対策をマルウェア対策や復旧対策に限定せず、初期侵入の遮断、認証情報の保護、外部公開資産の管理、侵害兆候の早期把握まで広げて捉える必要があります。サイバー犯罪の分業化が進む現在、企業側もまた、侵入前提ではなく「侵入阻止」を起点にした防御設計へ軸足を移すことが重要です。
出典・参考資料
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。
セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。
WACOCA: People, Life, Style.