ランサムウェア交渉人が裏で手引き、7500万ドル恐喝に加担
被害企業の盾になるはずの交渉人が、攻撃者に保険限度額を流していた。米司法省の起訴状が暴いたのは、サイバー防御業界で起きた裏切りだ。5社から絞り取られた身代金は、合わせて7500万ドルを超える。
被害企業の盾になるはずの交渉人が、攻撃者に保険限度額を流していた。米司法省の起訴状が暴いたのは、サイバー防御業界で起きた裏切りだ。5社から絞り取られた身代金は、合わせて7500万ドルを超える。
表の顔は交渉人、裏の顔は密告者
米司法省は4月20日、フロリダ州在住のアンジェロ・マルティノ(Angelo Martino、41歳)が恐喝共謀罪で有罪を認めたと発表した。この男、表向きはシカゴのインシデント対応企業DigitalMintに所属するランサムウェア交渉人として、ランサムウェア被害に遭った企業の代理人を務めていた。
ところが裏では、まさに攻撃している側のBlackCat(ALPHV)に自社顧客の手の内を売り渡していた。交渉の席に座りながら、机の下でテーブルの反対側に合図を送るような行為だ。
マルティノが流していたのは、ただの雑談ではない。被害者のサイバー保険の上限額、そして内部での交渉方針や温度感。要するに「いくらまで払えるか」という、交渉で最も死守しなければならない情報そのものだった。見返りに、BlackCat側からは報酬が支払われていた。
5社から7500万ドル超、最大は非営利団体の2680万ドル
裁判所に提出された資料では、5社それぞれの支払額が明らかになっている。
- 非営利団体:暗号資産で約2679万ドル(約42億5800万円)
- 金融サービス企業:2566万ドル(約40億7900万円)
- ホスピタリティ企業:1648万ドル(約26億2000万円)
- 小売企業:610万ドル(約9億7000万円)
- 医療関連企業:21万3000ドル(約3400万円)
合計で7500万ドルを超える。非営利団体から26億円を絞り取るランサムウェア交渉の現実が、この数字には凝縮されている。
ここで不気味なのは、マルティノが被害企業に向けて演じた芝居の記録だ。ホスピタリティ企業の代理人として交渉した際、彼はBlackCat側の共犯者にこう伝えている。
Keep denying our offers and I will let you know once I find out the max the[y] want to pay.(こちらのオファーを拒否し続けてくれ。向こうがいくらまで払う気があるか分かったら連絡する)
保険会社が小口しか承認していない、という内部情報とセットで渡された指示だった。そして同じ口で、DigitalMintの社員としても見える公式の交渉チャットで、被害企業に向けてはこう書いている。「要求額の根拠は分からないが、こちらは運営上の損失が出ていて、今年は借入がすべて倍の金利で借り換えになる。100万ドルなら今すぐ出せる、これは本気のオファーだ」。いかにも追い詰められた被害企業の代理人らしい、苦しげな文面だ。
この二枚舌を受けたBlackCat側の返答は、マルティノの指示通りだった。被害企業はやがて1648万ドル相当の暗号資産を支払い、復号キーと「盗んだデータを公開しない」という約束を買うことになる。
共犯者はSygniaの元マネージャー、3人の内部犯行
マルティノはさらに、別ルートの攻撃にも関わっていた。2023年4月から11月にかけて、同僚のケビン・タイラー・マーティン(DigitalMintの元交渉人)、そしてSygniaでインシデント対応マネージャーを務めていたライアン・クリフォード・ゴールドバーグ(Ryan Clifford Goldberg)と組んで、自らBlackCatのランサムウェアを展開していた。
3人が果たした役割分担も、法廷文書で明らかになっている。ゴールドバーグがネットワークの脆弱性を見つけて侵入口を開き、マーティンがデータを抜いてシステムを暗号化し、マルティノが交渉の現場を担当する。防御のプロ3人が、そっくり攻撃側に転職したような布陣だ。
彼らはBlackCatのアフィリエイトとして、身代金の20%を運営側に上納する契約で動いていた。10月の起訴状によれば、この直接攻撃でも1600万ドル以上を要求。確認されている1件の支払いは、ある医療機器企業からの127万4000ドルで、3人で分け合ったという。
押収された「成果物」が物語るもの
捜査当局がマルティノから押収した資産の内訳は、この種の事件にしては異様なまでに具体的だ。総額1000万ドル相当のうち、暗号資産が920万ドル。加えて不動産2件、トレーラー、豪華漁船、自動車2台。その2台のうち1台は1999年式の日産スカイラインだった。
日本の読者には、この1台が何を意味するかはすぐ伝わるだろう。米国の自動車愛好家にとって、R34世代のスカイラインは長らく「正規輸入できない憧れの聖杯」だった——25年ルールで合法輸入が解禁された直後から、相場は跳ね上がっている。サイバー犯罪で稼いだ金の使い道として、これ以上分かりやすい「成り上がり」の象徴もない。
検察は1000万ドル超の資産凍結で見せつけた。犯罪収益は1ドルたりとも残さない、と。
DigitalMintは「知らなかった」。それは通るのか
雇用主だったDigitalMintは、一連の事件に自社が関与した疑いは一切持たれていない。同社は2025年4月3日に司法省から捜査を通知され、即座にマルティノのシステムアクセスを停止、翌日に解雇したと説明している。
CEOのジョナサン・ソロモン(Jonathan Solomon)は声明で、「元従業員の犯罪行為は我々の価値観・倫理基準・法律に明確に違反するものであり、強く非難する」と述べた。さらに、「いかなる組織も内部犯行リスクを完全に排除することはできないが、同様の事態を防ぐためにセーフガードと内部統制を強化している」とも付け加えている。
ただし、この説明で業界の疑問が消えるわけではない。ランサムウェア交渉という仕事は、構造的に密室だ。被害企業は交渉の内容を外部に出すわけにいかず、監督官庁が常時監視しているわけでもない。交渉人と攻撃者の間に流れるチャットを、第三者が横から読む仕組みはほぼ存在しない。
CNNの取材に応じた司法省高官は、この事件を「画期的(groundbreaking)」だと評した上で、こう続けている。
ランサムウェア案件に長年関わる中で、不祥事の噂は聞いていた。こうした事実で起訴に至っても驚きはなかった。
業界の内側では、「いつか起きるだろう」と予感されていた出来事だったということだ。
同高官は、別の未公表案件でもサイバーセキュリティ業界の不正について捜査が進んでおり、数カ月以内に別の起訴に発展する可能性を示唆している。
交渉産業の「監視されない空白」
この事件が突きつけているのは、マルティノ個人の倫理破綻ではない。ランサムウェア交渉という業態そのものが抱える構造の話だ。
被害企業はサイバー攻撃を受けた瞬間、暗号化されたファイルと引き換えに数千万ドルを要求される。パニックの中、頼れるのは専門業者しかいない。業者は攻撃者と裏チャットで連絡を取り、値切り交渉を代行する。被害企業から見れば、交渉人のチャット画面の向こうで何が行われているかは見えない。攻撃者から見ても、交渉人が顧客のためにどこまで踏ん張っているかは分からない。
この「両方から見えない空間」が、マルティノに機会を与えた。保険限度額という情報は、本来なら絶対に渡してはいけない底値の情報だ。それを売れば、身代金は跳ね上がる。上がった分から自分の取り分を確保する。単純で、そして恐ろしく効率的な仕組みだった。
マルティノは7月9日に量刑判決を迎え、最大20年の拘禁刑に直面する。マーティンとゴールドバーグは4月30日、こちらも最大20年だ。
3人が法廷から消えたあと、ランサムウェア交渉産業に残るのは何だろうか。業界全体が、交渉プロセスの可視化、顧客と交渉人の間の情報共有、そしてインサイダーリスクの管理という、これまで避けてきた論点に向き合わざるを得ない。被害者を守るはずの仕組みが、被害者から搾り取る仕組みに反転する瞬間を、誰がどう防ぐのか。答えはまだ、どこにも用意されていない。
参照元
関連記事
- 米国人2人に計16年8ヶ月、北朝鮮ITラップトップファームの代償
- 米国サイバー犯罪被害が過去最高208億ドル突破、AIとクリプト詐欺が急増
- 米政府のマス監視、AIとデータブローカーで全国民対象に
- サードパーティのアンチウイルスは不要、Microsoftが明言
- セイコーUSAサイト改ざん、Shopify顧客情報盗難と主張
- アルトマン宅襲撃の20歳起訴、3部構成の反AI文書と拳銃が浮上
- Rockstar再び侵害、ShinyHuntersが4月14日期限で身代金要求
- ロシアGRU、家庭用ルーター1万8000台を乗っ取りOutlook認証情報を窃取
- イラン系ハッカー、米国の水道・電力を「実際に破壊」──FBIが異例の緊急警告
- Drift 2.7億ドル流出の裏に北朝鮮の6か月潜入工作
