INTERPOL国際作戦で45,000サーバー摘発、94人逮捕
72カ国、45,000以上のIP・サーバー撤去、94人逮捕——INTERPOL(国際刑事警察機構)が主導した「Operation Synergia III」が、サイバー犯罪史上最大規模の国際共同摘発として成果を発表した。フィッシング、マルウェア配布、ランサムウェアに関連する犯罪インフラが一斉に解体され、200万ドル以上の不正資産が凍結された。
従来のサイバー犯罪摘発が1つの犯罪グループや1カ国を対象とすることが多かったのに対し、Synergia IIIは犯罪を支えるインフラそのもの——C2(Command & Control)サーバー、防弾ホスティング、フィッシングサーバー——をターゲットにした点が画期的だ。この記事では、作戦の全容と、急速に「産業化」するサイバー犯罪の構造、そして日本への影響を解説する。
Operation Synergia IIIとは何か
Operation Synergiaシリーズは、INTERPOLのCyber Directorate(サイバー総局)が中心となり、世界各国の法執行機関と民間セキュリティ企業が連携して実施する大規模なサイバー犯罪摘発作戦だ。2023年のSynergia I、2024年のSynergia IIに続く第3弾として、2025年11月から2026年3月にかけて実施された。
以下の図は、Operation Synergia IIIの作戦概要と流れを示しています。
この図が示すとおり、Synergia IIIは約5カ月にわたる長期作戦であり、情報収集・分析フェーズを経て一斉摘発に至っている。
作戦の特徴
Synergia IIIが従来の摘発作戦と大きく異なるのは、以下の3点だ。
1. インフラ中心のアプローチ: 個別の犯罪者ではなく、犯罪を可能にしているサーバー群やホスティング事業者を一斉に無力化する。これにより、1つのサーバー撤去が複数の犯罪グループの活動を同時に停止させる効果がある。
2. 官民連携の深化: INTERPOLの法執行機関だけでなく、Trend Micro、Group-IB、Kaspersky、Team Cymruなどの民間セキュリティ企業がインテリジェンス提供やインフラ特定に協力した。脅威インテリジェンスの共有スピードが従来の作戦より大幅に向上している。
3. グローバルな同時執行: 72カ国が参加する過去最大規模の同時作戦であり、犯罪者が他国のインフラに逃避する「ジュリスディクション・ホッピング」を封じた。
摘発の具体的成果
Operation Synergia IIIの主要な成果は以下のとおりだ。
| 項目 | 数値 |
|---|---|
| 参加国数 | 72カ国 |
| 撤去サーバー・IP数 | 45,000以上 |
| 逮捕者数 | 94人 |
| 凍結資産額 | 200万ドル以上(約3億円) |
| 停止ドメイン数 | 数百件 |
| 特定された容疑者 | 追加で多数(捜査継続中) |
| 作戦期間 | 2025年11月〜2026年3月 |
特筆すべきは、45,000以上というサーバー撤去数だ。これは2024年のSynergia IIでの22,000件の約2倍にあたり、サイバー犯罪インフラの爆発的な増加とともに、摘発能力も向上していることを示している。
過去のサイバー犯罪摘発作戦との比較
Synergia IIIの規模を理解するために、過去の主要な国際サイバー犯罪摘発作戦と比較してみよう。
| 作戦名 | 年 | 主導機関 | 参加国 | 主な対象 | 逮捕者 | サーバー撤去 |
|---|---|---|---|---|---|---|
| Synergia I | 2023 | INTERPOL | 60カ国 | フィッシング・マルウェア | 31人 | 1,300+ |
| Hive Takedown | 2023 | FBI/Europol | 13カ国 | Hiveランサムウェア | 0人(インフラ撤去) | 数十台 |
| Synergia II | 2024 | INTERPOL | 95カ国 | フィッシング・ランサムウェア | 41人 | 22,000+ |
| LockBit Takedown | 2024 | NCA/FBI | 10カ国 | LockBitランサムウェア | 複数名 | 34台+ドメイン |
| Endgame | 2024 | Europol | 複数国 | ボットネット・ドロッパー | 4人 | 100+サーバー |
| Synergia III | 2026 | INTERPOL | 72カ国 | CaaS全般 | 94人 | 45,000+ |
この比較表から明らかなように、Synergiaシリーズは回を重ねるごとに摘発規模が拡大している。特にSynergia IIIの45,000サーバー撤去は、他のどの作戦とも桁が違う。Hive TakedownやLockBit Takedownが特定のランサムウェアグループを狙った「点」の作戦であるのに対し、Synergiaシリーズはサイバー犯罪のインフラ全体を標的にした「面」の作戦と言える。
サイバー犯罪の「産業化」——CaaS(Crime-as-a-Service)の仕組み
Synergia IIIが大量のインフラを摘発できた背景には、サイバー犯罪の急速な「産業化」がある。かつてサイバー犯罪は高度な技術を持つハッカーが個人で行うものだった。しかし現在では、CaaS(Crime-as-a-Service) と呼ばれるビジネスモデルにより、技術力のない犯罪者でも「サービスを購入する」だけでサイバー攻撃を実行できる。
以下の図は、CaaSの分業構造とSynergia IIIの摘発戦略を示しています。
この図のとおり、サイバー犯罪エコシステムは明確な分業構造を持っている。
上流:ツール開発者
マルウェアやランサムウェアのキットを開発し、ダークウェブ上で販売する。月額$50〜$500のサブスクリプションモデルで提供されるケースが多く、SaaS企業と同様のビジネスモデルを採用している。カスタマーサポートやアップデートまで提供する「プロフェッショナル」な犯罪者も存在する。
中流:インフラ提供者
犯罪活動に必要なサーバー・ネットワーク・資金洗浄手段を提供する。具体的には以下のようなサービスがある。
- 防弾ホスティング(Bulletproof Hosting): 法執行機関の要請を無視するホスティング事業者。ロシア、ウクライナ、モルドバなどに拠点を置くことが多い
- C2サーバー運用: マルウェアの遠隔操作に使用する中継サーバーの提供・運用
- 暗号通貨ミキサー: 身代金の資金洗浄サービス。複数のウォレットを経由して追跡を困難にする
- VPN/プロキシ: 攻撃元のIPアドレスを隠蔽するためのネットワークインフラ
Synergia IIIが集中的に狙ったのがこの中流のインフラ層だ。 上流の開発者や下流の実行者は世界中に分散しているが、インフラは物理的なサーバーとして存在するため、特定・撤去が可能である。インフラを潰すことで、上流の「商品」が購入者に届かなくなり、下流の実行者は攻撃手段を失う。
下流:攻撃実行者
CaaSのサービスを利用して実際に攻撃を行う。フィッシングメールの大量配信、ランサムウェアの展開、認証情報の窃取などを実行する。技術力がほとんど不要なため、参入障壁が非常に低い。Chainalysisの報告によると、ランサムウェア攻撃の実行者の多くは20代前半で、必ずしもプログラミングスキルを持たない。
ランサムウェア被害の推移とCaaSの影響
CaaSの普及に伴い、ランサムウェアの被害額は年々増加している。
| 年 | 推定被害額(グローバル) | 前年比 | 主な動向 |
|---|---|---|---|
| 2021年 | $200億 | — | Colonial Pipeline事件 |
| 2022年 | $230億 | +15% | Conti解散、LockBit台頭 |
| 2023年 | $300億 | +30% | MOVEit攻撃、CL0P活発化 |
| 2024年 | $350億 | +17% | Change Healthcare事件 |
| 2025年 | $400億超 | +15%以上 | CaaS本格化、二重脅迫標準化 |
2021年から2025年までのわずか4年で被害額は2倍以上に膨れ上がった。この急増の大きな要因がCaaSの普及だ。Cybersecurity Venturesの予測では、2031年には全世界のランサムウェア被害額が$2,650億に達するとされている。
Synergia IIIによるインフラ摘発は、この増加トレンドに対するブレーキとなることが期待されている。ただし、サイバー犯罪者は迅速にインフラを再構築する能力を持っており、摘発の効果がどの程度持続するかは注視が必要だ。
フィッシング攻撃——最大のエントリーポイント
Synergia IIIで摘発されたインフラの中で最も多かったのがフィッシング関連のサーバーだ。IBMのX-Force Threat Intelligence Indexによれば、データ侵害の初期アクセス手段として**フィッシングは依然として最も多く、全体の約30%**を占める。
フィッシング攻撃が増加している背景には、AIの悪用がある。生成AIの登場により、自然な日本語(またはその他の言語)のフィッシングメールを大量に作成することが容易になった。かつては不自然な日本語が「怪しい」と見破る手がかりだったが、現在ではネイティブスピーカーと区別がつかない品質のメールが生成できる。
個人レベルでのフィッシング対策として最も有効なのは、強固なパスワード管理とフィッシング耐性のある認証手段の導入だ。1Passwordのようなパスワードマネージャーは、正規のURLとフィッシングサイトのURLの不一致を検知し、偽サイトへのパスワード自動入力をブロックする機能を持つ。また、パスキー(FIDO2)対応により、フィッシング攻撃を根本的に無効化できる認証方式への移行も進んでいる。
VPNとプライバシー保護の重要性
Synergia IIIの摘発で明らかになったもう1つの側面は、犯罪者がVPNやプロキシを悪用してIPアドレスを偽装していたことだ。しかし、これは正当なVPNサービスとは本質的に異なる。
犯罪者が利用していたのは、ログを一切保持せず法執行機関の要請に応じない「防弾VPN」だ。一方、NordVPNのような信頼性の高いVPNサービスは、ユーザーのプライバシーを保護しつつも、法的な透明性を確保している。公共Wi-Fiでの通信暗号化や、ISPによるトラフィック監視の防止など、正当なセキュリティ目的での利用が推奨される。
特にリモートワーク環境では、カフェや空港のWi-Fiを利用する機会が増えており、VPNによる通信の暗号化は基本的なセキュリティ対策として不可欠だ。
日本への影響——国内のサイバー犯罪被害と国際連携
日本のサイバー犯罪被害の現状
警察庁の「令和7年上半期サイバー犯罪の情勢」によると、日本国内のサイバー犯罪被害は深刻化の一途をたどっている。
- ランサムウェア被害報告件数: 2024年は197件(前年比23%増)、2025年上半期だけで130件を超えた
- フィッシング報告件数: 2025年は年間150万件を超えるペースで推移(フィッシング対策協議会調べ)
- 不正アクセス禁止法違反: 検挙件数は年間500件を超え、増加傾向
日本企業へのランサムウェア攻撃では、製造業が最も多く標的となっている。2024年には大手港湾物流システムへの攻撃、医療機関へのランサムウェア被害などが大きく報じられた。
日本の国際連携の取り組み
日本はSynergia IIIに直接参加しているかは公式には明示されていないが、INTERPOLのサイバー犯罪対策には積極的に関与している。
- 警察庁サイバー警察局: 2022年に新設された組織で、国際的なサイバー犯罪捜査を統括
- JPCERT/CC: 日本の Computer Emergency Response Team として、国際的なインシデント対応・情報共有に参加
- NPA(National Police Agency)のINTERPOL連携: INTERPOLのCyber Fusion Centreに要員を派遣し、リアルタイムの情報共有に参加
- サイバーセキュリティ基本法の改正: 2025年に重要インフラ防護の強化と国際連携の法的根拠を整備
ただし、日本のサイバーセキュリティ人材は約4万人不足していると言われており(ISC2調べ)、国際連携を実効的に進めるための体制強化が急務だ。
日本企業が取るべき対策
Synergia IIIのようなインフラ摘発は犯罪抑止に一定の効果があるが、摘発だけで犯罪がなくなるわけではない。日本企業は以下の対策を自ら講じる必要がある。
- ゼロトラストアーキテクチャの導入: 境界防御から脱却し、すべてのアクセスを検証する
- 従業員のセキュリティ教育: フィッシング訓練を定期的に実施し、AI生成メールへの耐性を高める
- インシデントレスポンス計画: ランサムウェア被害時のBCP(事業継続計画)を策定・テスト
- サプライチェーンリスク管理: 取引先・委託先のセキュリティ水準を定期的に監査
- 脅威インテリジェンスの活用: ISACやJPCERT/CCの情報を活用し、新たな脅威に先手を打つ
Synergia IIIの限界と今後の展望
Synergia IIIの成果は画期的だが、楽観視はできない。サイバー犯罪者は過去の摘発から学び、より回復力の高いインフラを構築する傾向がある。
犯罪者側の対応策
- 分散型インフラ: 単一のサーバーに依存せず、Tor Hidden ServicesやBlockchainベースのDNSを使用して摘発耐性を高める
- 迅速な再構築: 摘発後24〜48時間以内に新たなインフラを立ち上げる能力を持つグループもある
- 地政学的セーフヘイブン: 国際的な司法協力が困難な地域にインフラを移転する動きが加速
法執行側の次のステップ
INTERPOLは、Synergia IIIの成功を踏まえて以下の方針を示している。
- AIベースの脅威インテリジェンス: 犯罪インフラの自動検知・分類にAIを活用し、摘発のスピードを向上
- 暗号通貨追跡の強化: Chainalysisなどの企業と連携し、資金洗浄の追跡能力を強化
- キャパシティビルディング: 発展途上国の法執行機関に対する技術支援を拡大し、「セーフヘイブン」を減らす
- 継続的な作戦: 単発の摘発ではなく、Synergiaシリーズのような継続的な作戦により、犯罪者にとってインフラ維持コストを上げ続ける
まとめ——個人と組織が今すぐ取るべきアクション
Operation Synergia IIIは、サイバー犯罪との戦いにおける国際連携の新たなマイルストーンだ。45,000サーバーの撤去と94人の逮捕は、犯罪エコシステム全体に打撃を与えたが、根絶には至っていない。個人と組織が自衛策を講じることが、引き続き不可欠である。
今すぐ実行すべき3つのアクション:
- パスワード管理を強化する: 1Passwordなどのパスワードマネージャーを導入し、すべてのアカウントに一意の強力なパスワードを設定する。フィッシング対策としてパスキー(FIDO2)への移行も積極的に進めるべきだ
- VPNで通信を暗号化する: 特にリモートワークや外出先での接続時は、NordVPNなどの信頼性の高いVPNを使用して通信を保護する。公共Wi-Fiの利用時は必須レベルの対策だ
- セキュリティ意識を組織全体で高める: フィッシング訓練の定期実施、インシデントレスポンス計画の策定・更新、脅威インテリジェンス(JPCERT/CC等)のウォッチを習慣化する
サイバー犯罪の「産業化」が進む中、防御側も同様に組織化・自動化していくことが求められている。Synergia IIIは、その国際的な枠組みが機能し始めていることを示す重要な事例だ。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星