2025年5月31日、匿名の内部告発者GangExposedがContiとTrickbotランサムウェア組織の主要人物を暴露した。
5月5日にTelegramチャンネルを開設後、TrickbotとContiのリーダーSternを36歳のロシア人Vitaly Nikolaevich Kovalevとして特定し、ドイツ警察が身元を確認した。
数日後、Professorのコードネームで知られる39歳のロシア人Vladimir Viktorovich Kvitkoも特定された。
Kvitkoらは2020年にモスクワからドバイに移住し、アラブ首長国連邦を拠点として西側組織への攻撃を継続している。
米国政府はProfessorとTargetを含む5人の主要工作員の情報に最大1,000万ドルの懸賞金を提示している。
GangExposedは木曜日に15枚の写真とともに、主任システム管理者Defender(Andrey Yuryevich Zhuykov)と上級マネージャーMango(Mikhail Mikhailovich Tsaryov)の詳細情報を公開した。
Technisanct創設者Nandakishore Harikumarは、GangExposedが元メンバーまたは内部の不満分子である可能性を指摘している。
From: 
Mysterious leaker GangExposed outs Conti kingpins in massive ransomware data dump
【編集部解説】
今回のGangExposedによる大規模リークは、サイバー犯罪組織の内部構造を白日の下に晒す極めて稀有な事例です。ドイツ連邦刑事警察庁(BKA)が2025年5月30日にStern(Vitaly Nikolaevich Kovalev)の身元を公式に確認しており、GangExposedの情報の信憑性が裏付けられています。
このリークが持つ最大の意義は、従来のサイバー犯罪捜査の限界を突破した点にあります。ランサムウェア組織は通常、高度な匿名化技術と地理的分散により法執行機関の追跡を逃れてきました。しかし、GangExposedは内部からの詳細な情報により、これらの防壁を無効化したのです。
特に注目すべきは、Conti組織がアラブ首長国連邦を「安全な避難所」として活用していた実態が明らかになったことです。UAEは従来、サイバー犯罪者の引き渡し協定を持たない地域として知られていましたが、物理的な犯罪行為の証拠が示されることで、国際的な法執行協力の新たな枠組み構築につながる可能性があります。
一方で、このリークには複雑な側面も存在します。GangExposed自身の正体や動機について、セキュリティ専門家らは「元メンバーによる内部告発」の可能性を指摘しています。Technisanct社の分析によると、アクセスレベルや内部情報の詳細さから、完全な外部者による調査では説明できない要素が多数含まれているとのことです。
技術的な観点から見ると、このリークはOSINT(オープンソースインテリジェンス)手法の進化を示しています。GangExposedが言語学的分析(文体論)や心理学的アプローチを組み合わせて身元特定を行った手法は、今後のサイバー犯罪捜査における新たなベンチマークとなるでしょう。
しかし、このような手法の普及は両刃の剣でもあります。悪意ある第三者が同様の技術を用いて無関係な個人を標的にするリスクや、プライバシー侵害の懸念も高まっています。
長期的な影響として、このリークはランサムウェア・アズ・ア・サービス(RaaS)モデルの根本的な変化を促す可能性があります。Contiの解体後に派生した複数の組織(Royal、Black Basta、BlackCatなど)は、より厳格な運用セキュリティの導入を余儀なくされるでしょう。
また、暗号通貨の匿名性に依存してきた資金洗浄スキームについても、Blockchain Lifeフォーラムの実態が暴露されたことで、規制当局の監視が一層強化されることが予想されます。これは健全な暗号通貨エコシステムの発展にとってはポジティブな影響をもたらすと考えられます。
【用語解説】
ランサムウェア・アズ・ア・サービス(RaaS)
ランサムウェアを開発する組織が、他のサイバー犯罪者にソフトウェアとインフラを提供するビジネスモデル。従来のソフトウェアサービスと同様に、月額料金や収益分配で運営される。
ダブルエクストーション(二重恐喝)
ファイルを暗号化するだけでなく、機密データを窃取して公開すると脅迫する手法。被害者は復号と情報漏洩防止の両方で身代金を要求される。
OSINT(オープンソースインテリジェンス)
公開されている情報源から収集・分析する諜報活動。SNS、企業サイト、ニュース記事などから標的の詳細情報を収集する手法。
文体論(Stylometry)
文章の統計的特徴を分析して著者を特定する言語学的手法。単語選択、文の長さ、句読点の使用パターンなどから個人を識別する。
TrickBot
2016年に登場した銀行情報窃取を目的としたトロイの木馬。後にContiランサムウェアの配布に使用されるマルウェアプラットフォームに進化した。
FSB国境管理データベース
ロシア連邦保安庁(FSB)が管理する出入国記録データベース。GangExposedがダークウェブで25万ドルで購入したと主張している情報源。
【参考リンク】
CISA – ランサムウェア対策ガイド(外部)
米国サイバーセキュリティ・インフラセキュリティ庁による公式のランサムウェア対策情報
FBI – サイバー犯罪報告センター(外部)
連邦捜査局が運営するサイバー犯罪報告サイト。ランサムウェア被害の報告や最新の脅威情報を提供
Europol – サイバー犯罪対策センター(外部)
欧州刑事警察機構のサイバー犯罪対策部門。国際的なサイバー犯罪組織の追跡と摘発に関する情報
MITRE ATT&CK – ランサムウェア戦術(外部)
サイバーセキュリティ分野で広く使用されているMITRE ATT&CKフレームワークのランサムウェア戦術解説
【編集部後記】
今回のGangExposedによるリークは、サイバーセキュリティの世界で従来の常識を覆す出来事でした。皆さんはこのような内部告発が今後のランサムウェア対策にどのような変化をもたらすと思われますか?また、匿名の調査員が用いたOSINT手法や文体分析といった技術について、どのような可能性や懸念を感じられるでしょうか?ぜひSNSで皆さんのご意見をお聞かせください。サイバー犯罪との戦いにおける新たな局面について、一緒に考えていければと思います。
【参考記事】
Conti leaks shine light on ransomware’s darkest secrets – Mimecast
2022年のContiリーク事件について詳細に分析した記事。組織構造、給与体系、内部コミュニケーションの実態を解説し、ランサムウェア・アズ・ア・サービス(RaaS)モデルの内部運営について包括的に分析している。
Disgruntled ransomware affiliate leaks the Conti gang’s technical manuals – The Record
不満を抱いたConti関係者による技術マニュアルリークについて報じた記事。攻撃手法、ツールの使用方法、ネットワーク侵入技術について詳述し、サイバー犯罪組織の実際の運用手順を明らかにしている。
Ransomware Gang Leak Shows Stolen Passwords And 2FA Codes Driving Attacks – Forbes
Black Bastaランサムウェア組織の内部チャットログリークを分析した記事。Conti解体後の派生組織の活動実態と、盗取された認証情報を用いた攻撃手法について詳細に解説している。
