サイバーセキュリティ

サイバー犯罪者を「笑い者」にせよ──業界が仕掛ける心理戦

情報の灯台

2026年4月6日

Wizard Spider、Velvet Tempest、Fancy Bear。サイバーセキュリティ業界は、犯罪者集団にかっこいい名前を付けすぎた。ある研究者が、まったく逆のアプローチで反撃を始めている。

「奴らは神話じゃない」

セキュリティ企業Trellixで脅威インテリジェンス部門のVPを務めるヨン・フォッカーは、RSA Conference 2026でThe Registerの取材に対し、率直に語った。

「業界全体が脅威アクターを神格化している。それは顧客のためにも、組織のためにもならない」

「奴らはただの個人だ。コンピュータを使ってデータを盗み、金を稼ぎたいだけだ。神話的な存在でも、超能力者でもない」──ヨン・フォッカー

フォッカーの経歴は異色だ。オランダ海兵隊の特殊作戦部隊に約8年間在籍した後、オランダ国家ハイテク犯罪ユニット（NHTCU）で大規模なサイバー犯罪捜査を指揮してきた人物である。そんな彼が今、犯罪者に対して選んだ武器は、銃でもコードでもない。

嘲笑だ。

Trellixのチームは「ほぼ心理作戦」と呼ぶアプローチで、犯罪者の地下世界を取り上げることにした。称賛の反対は何か。答えは単純だった。「笑い者にしてやる」。

こうして生まれたのがDark Web Roast（ダークウェブ・ロースト）だ。ミーム、揶揄、そしてリッキー・ジャーヴェイス風の免責事項つきで、ダークウェブの犯罪者たちの失態を定期的に暴露するブログシリーズである。

犯罪者たちの「華麗なる」失態

2026年2月号のDark Web Roastは、犯罪者の能力と自己認識のギャップを容赦なく晒している。

あるランサムウェアグループは、脅迫投稿をコンテンツカレンダーのように一括下書き・予約投稿していた。しかも投稿量があまりに不自然で、「被害者」の大半は自作自演のフェイクサイトだろうとTrellixは分析している。架空の実績で箔をつけようとする犯罪者。もはやスパムメール業者と変わらない。

もっと派手な失態もある。cortana9000というハンドルネームのエクスプロイト開発者は、Ciscoのリモートコード実行脆弱性（CVE-2026-20045）のエクスプロイトを手にしていた。国家支援のグループが実際に悪用していた深刻なバグだ。本来なら高値で売れるはずだった。

ところがこの人物、フォーラムで「これいくらで売れる？」と聞いてしまった。そして別のフォーラムで7万ドル（約1,120万円）の値札をつけた。すかさず別のメンバーが一言で切り捨てた。「既知になった以上、それは1dayエクスプロイトだ」。口を開いた瞬間に価値が暴落する。自分で自分のビジネスを破壊した。

犯罪者のオペレーションセキュリティ（OPSEC）は、パスワードを付箋に書いて貼るのと大差ないレベルだと、Trellixは繰り返し指摘している。

極めつけはpatagonというハンドルネームの人物だ。ロシアのエネルギーインフラへの完全なドメイン管理者アクセス──約500台のホスト、3TBのデータダンプ付き──を、中古車より安い値段で売ろうとしていた。国家レベルのアナリストなら目を疑う案件を、フリマアプリ感覚で出品していたのだ。Trellixの表現を借りれば「桁が何桁も違う」過小評価である。

「煽り」の系譜──法執行機関の先例

犯罪者を嘲笑するアプローチは、Trellixの独創ではない。フォッカー自身が転換点として挙げるのは、2024年2月のLockBit壊滅作戦だ。

英国国家犯罪対策庁（NCA）率いる国際捜査チーム「Operation Cronos」は、当時世界最大のランサムウェア組織LockBitのインフラを掌握した。だが、サイトを単に閉鎖するだけでは終わらせなかった。LockBitが被害者を脅すために使っていたカウントダウンタイマーをそのまま流用し、犯罪者側の情報を日ごとにリークしていったのだ。

アフィリエイトのユーザー名一覧、盗まれた暗号資産の分析、そして最終日にはリーダー「LockBitSupp」の正体に迫る情報。犯罪者が被害者にやってきたことを、そっくりそのままやり返した。英国人は中指の立て方を知っている。

しかしインフラを潰すだけでは不十分だ、とフォッカーは指摘する。LockBitは実際にサーバーを立て直して復活を試みた。「犯罪者は『こんなゲーム、いつまでもやれるぜ』と言うだろう。だからインフラ破壊だけでは機能しない」。

2025年11月のRhadamanthys（ラダマンティス）情報窃取マルウェア摘発でも、同じ手法が使われた。Europol主導の「Operation Endgame」は1,025台以上のサーバーを押収した上で、CGIアニメーション動画を公開した。内容は挑発的だった。マルウェアの管理者が、顧客から集めたデータの中から最も価値の高い暗号資産のカギを自分のためにくすね、客には残りカスだけ渡していた──という事実の暴露だ。

Trellixはオランダ警察とのブリーフィングでこの事実を知り、Dark Web Roastで容赦なく書いた。「この管理者と組むのは馬鹿だ。奴はお前たちの金で私腹を肥やしているだけだ」

嘲笑が「武器」になる構造的理由

なぜ嘲笑が有効なのか。それは犯罪エコシステムの構造に起因する。

ランサムウェアの世界は、一枚岩の組織ではない。初期アクセスブローカー、エクスプロイト開発者、マルウェア作成者、そして実行役のアフィリエイト──複数の独立したプレイヤーがネットワーク型の信頼関係で結びついている。フォッカーはこの構造こそが弱点だと見ている。

「依存関係が生まれる」と彼は言う。「パートナーのランサムウェアグループが出口詐欺をやらかす。復号ツールが動かない。そうした亀裂がビジネスモデルに入っていく」

サーバーは立て直せる。だが一度失われた信頼は、そう簡単には修復できない。

犯罪者同士が「こいつと組んで大丈夫か？」と疑い始めた時点で、ネットワークの結束は内側から崩れていく。

前CISA長官のジェン・イースタリーも、この問題を別の角度から提起してきた人物だ。2024年のBlack Hat基調講演で、彼女はサイバー犯罪グループに「力とカリスマを匂わせる名前」をつける慣行を批判した。Fancy BearやScattered Spiderではなく、「Scrawny Nuisance（貧弱な迷惑野郎）」や「Doofus Dingo（間抜けなディンゴ）」と呼ぶべきだ、と。

2025年6月にはイースタリーとGCHQ傘下の英国NCSCの初代トップだったキーラン・マーティンが共同論考を寄稿し、脅威アクターの命名規則の抜本的改革を訴えた。「Fancy Bearは漫画の悪役ではない。ロシアの軍事情報機関だ」──帰属が明らかなら、国名で呼べ、と。

フォッカーのDark Web Roastは、この議論をさらに一歩進めたものだ。名前を変えるだけでなく、犯罪者の無能さを白日の下に晒す。イースタリーの「名前を変えろ」という提案と、法執行機関の「煽り倒す」戦術が合流した地点に、このブログは立っている。