2026年1月28日、サイバー犯罪の世界に激震が走った。悪名高いランサムウェアフォーラム「Russian Anonymous Marketplace(RAMP)」が、米連邦捜査局(FBI)主導の電撃作戦により閉鎖されたのだ。クリアウェブとダークウェブの両方に存在したRAMPのサイトは、突如として「This site has been seized.(このサイトは押収された)」という法執行機関のバナーに置き換えられた。これは、サイバー犯罪者にとって長らく安息の地であった牙城が、ついに陥落したことを意味する。
この作戦は、FBIがフロリダ州南部地区連邦検事局および米司法省(DoJ)のコンピューター犯罪・知的財産課(CCIPS)と連携して実行されたものだ。押収バナーには、ロシアの人気アニメキャラクター「マーシャ」がウィンクする画像と共に、「The Only Place Ransomware Allowed!(ランサムウェアが許される唯一の場所!)」という、RAMPの運営方針を皮肉るメッセージが添えられていた。これは、法執行機関がサイバー犯罪者の心理を深く理解していることを示す、象徴的な挑発とも言えるだろう。
FBIは作戦当時、公式声明を発表していなかったものの、RAMPに関連するドメインがFBIとDoJの紋章が入った押収通知にリダイレクトされ、ネームサーバーが「ns1.fbi.seized.gov」および「ns2.fbi.seized.gov」に更新されたことで、米国法執行機関による押収が確実視された。この迅速かつ断固たる行動は、ランサムウェアエコシステムの中核をなすインフラに対する「意味のある破壊」として、セキュリティ専門家から高く評価されている。
RAMPの閉鎖は、単なるウェブサイトの停止以上の意味を持つ。それは、ランサムウェア犯罪者、その仲介者、そしてアフィリエイトが集う主要な議論の場であり、信頼性の高いエスクロー環境として機能していた。このフォーラムの壊滅は、サイバー犯罪コミュニティ全体に不信感、恐怖、不確実性を植え付け、今後のランサムウェア活動に大きな影響を与える可能性を秘めている。
ランサムウェアの温床:RAMPの台頭とその生態系
RAMPは、2012年にTorネットワーク上で運営を開始したサイトとして誕生したが、その真価を発揮し、サイバー犯罪界でその名を轟かせたのは2021年に入ってからだ。当時、ロシアの主要なダークウェブフォーラムであるXSSやExploit、さらには英語圏のBreachForumsがランサムウェアに関する議論を禁止したことで、サイバー犯罪エコシステムに大きな空白が生じた。RAMPはまさにこの空白を埋める形で急速に台頭し、「ランサムウェアが許される唯一の場所」としての地位を確立したのである。
このフォーラムは、かつて活動していたBabukランサムウェアグループと関連する人物によって運営されていたと報じられている。RAMPは、ランサムウェア・アズ・ア・サービス(RaaS)のオペレーターがアフィリエイトを募集し、初期アクセスブローカーが侵害されたビジネスネットワークの認証情報を販売し、サイバー犯罪者が盗まれたデータやツールを取引する主要な市場として機能した。ALPHV/BlackCat、Qilin、DragonForce、RansomHubといった悪名高いランサムウェアグループの多くが、その活動を宣伝するためにRAMPプラットフォームを利用していたことが確認されている。
Flare社のシニア脅威インテリジェンス研究者であるタミー・ハーパー氏は、RAMPを「サイバー犯罪エコシステムにおいて最も信頼されているランサムウェア関連フォーラムの一つ」と評し、そのプラットフォームが「信頼性の高いエスクロー環境として広く認識されていた」と説明している。CybaVerse社のSOCマネージャーであるベン・クラーク氏も、RAMPの成功要因は「盗まれた認証情報の購入から、マルウェアの宣伝、ランサムウェアサービスの売買まで、攻撃チェーン全体をサポートする市場を犯罪者に提供したこと」にあると指摘した。
RAMPは、その人気を裏付けるように、14,000人を超えるユーザーを誇っていた。参加には、他のハッキングフォーラムでの2ヶ月間の活動実績を証明するか、500米ドルの手数料を支払う必要があったという事実からも、その排他性と信頼性がうかがえる。このフォーラムは、新規および中堅以下のランサムウェアグループが自らを宣伝し、サービスを提供し、「可能な限り可視性を高める」ための主要なハブとなっていた。
ロシア情報機関との奇妙な関係:RAMP設立の裏側
RAMPの設立には、単なるサイバー犯罪者の利便性追求を超えた、より複雑な背景があったとする分析も存在する。インテリジェンス企業Red Senseの共同創設者であるエリセイ・ボフスラフスキー氏は、RAMPがロシアの治安機関と密接な関係を持つ個人によって、RaaSの無秩序な拡大への対応として設立されたと指摘している。2020年以前、ロシア、ベラルーシ、ウクライナの治安機関は、Ryuk、Conti、REvil、Maze、Ragnar、Netwalkerといった伝統的で高度に組織化されたサイバー犯罪グループに対して強い可視性を有していたという。
ボフスラフスキー氏によれば、この可視性の一部は、治安機関と関連する管理者を介してExploitやXSSといった主要フォーラムをコントロールすることで得られていた。しかし、RaaSモデルが爆発的に普及すると、その活動は制御不能なほどに広がり、フォーラム管理者でさえアフィリエイトに対する統制を失ってしまった。この「制御の喪失」こそが、RAMPが解決策として登場した根本的な問題であったと、同氏は分析している。
RAMPは、新しいグループやアクターが最初に投稿する場所となることで、実質的に当局に自らを特定させる役割を果たした。これにより、ロシア語圏以外のグループに対する可視性も向上し、ログ、ローダー、初期アクセス、エクスプロイトといった「サプライチェーン」の売り手も引き寄せられた。つまり、RAMPはサイバー犯罪の温床であると同時に、ロシアの治安機関がサイバー犯罪の動向を監視し、潜在的な脅威アクターを特定するための「情報収集ツール」としての側面も持ち合わせていた可能性が示唆されているのだ。
このような背景は、RAMPの閉鎖がロシアの治安機関にとっても、ランサムウェアのプロセスや売り手に対する「可視性の一部を失う」ことを意味するというボフスラフスキー氏の指摘と符合する。サイバー犯罪の闇市場は、単なる犯罪の場ではなく、地政学的な思惑や情報戦の舞台ともなり得る複雑な構造を内包していることが、RAMPの事例から浮き彫りになる。
運営者たちの足跡:Matveev逮捕とStallmanの声明
RAMPの運営を巡っては、複数の主要人物の存在が浮上している。その一人、ロシア国籍のミハイル・マトベエフは、「Orange」「Wazawaka」「BorisElcin」といった複数のエイリアスで知られ、2024年にロシア国内で逮捕された。彼はFBIの最重要指名手配リストに掲載されており、異例とも言えるロシアでの逮捕は、国際的な法執行機関の連携、あるいはロシア当局自身のサイバー犯罪に対する姿勢の変化を示すものとして注目された。
しかし、今回のRAMP閉鎖時にフォーラムの管理者であったのは、「Stallman」として知られる別の人物だった。Sophos社の脅威インテリジェンス研究者であるレベッカ・テイラー氏は、Stallmanが「信頼を維持し、ルールを施行し、プラットフォームの技術的運用を管理する上で中心的な役割を果たしていた」と述べている。彼の存在は、RAMPがサイバー犯罪コミュニティ内で高い信頼性を維持する上で不可欠であったことを示唆している。
RAMPの押収後、Stallmanは別のハッキングフォーラムであるXSS上で公式コメントを発表し、この閉鎖が「私の長年の仕事を破壊した」と述べ、再建の計画がないことを明言した。彼は「この日が来ないことを願っていたが、心の奥底では常にそれが可能であることを理解していた。これは我々全員が負うリスクだ」と語り、サイバー犯罪活動に伴う危険性を認識していたことを示唆した。この声明は、アンダーグラウンドコミュニティ内で大きな動揺と不確実性を引き起こしたという。
StallmanがRAMPの新しいバージョンを作成しないと決断した背景には、彼自身の身の安全に対する懸念が強く影響していると見られている。Red Senseのボフスラフスキー氏は、Stallmanが今や「ロシアの治安機関にとって無効な資産」となっており、2025年に相次いだサイバー犯罪者の逮捕に続き、彼が次の逮捕対象となる可能性が高いと指摘している。これは、サイバー犯罪フォーラムの運営がいかに危険な行為であるかを改めて浮き彫りにする出来事だ。
押収データが暴く闇:LockBitとの関連と情報流出の可能性
RAMPの閉鎖は、単にサイバー犯罪のインフラを破壊するだけでなく、法執行機関に極めて価値の高い情報をもたらすものと期待されている。Talion社の脅威インテリジェンスアナリストであるダニエル・ウィルコック氏は、押収によって「サービスを利用していた脅威アクターに関する貴重な情報、例えば彼らのメールアドレスやIPアドレス、そして市場で行われた金融取引へのアクセス」が得られると指摘する。これは、今後の捜査や逮捕に直結する可能性を秘めている。
ZeroFoxのレポートによれば、RAMPの閉鎖のニュースが流れた直後、疑わしいRAMPデータベースのスクリーンショットがTelegramチャンネルに出現したという。これらのスクリーンショットには、部分的にぼかされたユーザーのメールアドレスが含まれており、その中には悪名高いRaaSオペレーター「LockBit」がRAMPに登録する際に使用したとされるメールアドレスも含まれていた。さらに、フォーラムユーザー間で交わされたプライベートメッセージも含まれていたとされ、これが事実であれば、複数の脅威アクターグループの匿名性がさらに剥がされることになるだろう。
Telegramでの情報漏洩源は現時点では未確認だが、法執行機関がすでにフォーラムのデータベースとインフラを掌握している可能性は極めて高い。このデータは、ランサムウェアオペレーターが強固な運用セキュリティの対策を怠っていた場合、彼らの個人情報を特定する決定的な証拠となり得る。ZeroFoxは、RAMPフォーラムの押収に由来する逮捕が、今後6ヶ月以内に行われる可能性が非常に高いと予測しており、これはサイバー犯罪コミュニティにとって大きな脅威となる。
このようなデータ押収は、サイバー犯罪者間の不信感を増幅させる効果も持つ。フォーラムが押収されたことで、過去のやり取りや個人情報が当局の手に渡ったかもしれないという疑念は、彼らの連携を阻害し、新たな活動の場を見つける上での障壁となる。特に、LockBitのような主要なRaaSオペレーターの登録情報が流出したとされる事実は、サイバー犯罪者にとって「安全な場所」がいかに少ないかを痛感させるものとなるだろう。
サイバー犯罪エコシステムへの影響:短期的な混乱と長期的な課題
RAMPの閉鎖は、サイバー犯罪エコシステム全体に多岐にわたる影響を及ぼすと専門家は分析している。Flare社のハーパー氏は、これを「犯罪インフラの中核部分に対する意味のある破壊」と評価し、Outpost24社のジオマー・サラザール氏も「デジタル恐喝エコシステムを支えるインフラへのもう一つの大きな打撃」と述べた。法執行機関にとっては「大きな勝利」であり、脅威アクターに関する貴重な情報が得られると、Talion社のウィルコック氏は指摘する。
しかし、その影響の範囲については、より複雑な見方が示されている。Red Senseのボフスラフスキー氏は、RAMPの閉鎖が主に「低層のアクター」に影響を与え、市場へのアクセスや自らを「立ち上げる」能力を失わせると予測した。また、アンダーグラウンドの販売者にとっては流通と販売に大きな混乱をもたらすものの、その一部はTelegramのような代替プラットフォームに吸収される可能性が高いとも述べている。
一方で、トップ層のランサムウェアグループに対する影響は最小限に留まると見られている。これは、彼らがRAMPとランサムウェアとの関連性を理解し、多くが意図的に距離を置いていたためだ。さらに、ウィルコック氏は、RAMPの運営者が再建の計画はないと主張しているものの、他の犯罪者が代替のアンダーグラウンド市場に目を向ける可能性が高いと指摘し、「RAMPが閉鎖されたことでユーザーには多少の不便が生じるが、サイバー犯罪エコシステム全体への影響は限定的だろう」と述べた。
ZeroFoxの分析も、RAMPがRaaS活動を明示的に許可する唯一のダークウェブフォーラムであったため、その環境を迅速に置き換えることは容易ではないとしつつも、他のロシア語フォーラムへのトラフィック増加は避けられないと予測している。短期的にはランサムウェア攻撃のわずかな減少が予想されるものの、サイバー犯罪者たちの適応能力を考慮すれば、新たなハブの出現は時間の問題である可能性も示唆されている。
法執行機関の攻勢と進化するサイバー犯罪の構図
RAMPの閉鎖は、近年加速する法執行機関によるサイバー犯罪インフラへの攻勢の一環として位置づけられる。LockBitのテイクダウン作戦「Operation Cronos」や、違法な仮想通貨ミキシングサービスSamourai Walletの押収など、国際的な連携による大規模な作戦が相次いでいる。これらの作戦は、単に犯罪インフラを解体するだけでなく、脅威アクター間に不信感、恐怖、不確実性を植え付け、彼らの活動を困難にさせる心理的効果も狙っている。
Sophos社のテイラー氏が指摘するように、RAMPの押収は「犯罪参加者に関する貴重なインテリジェンスを提供し、法執行機関のさらなる行動の機会を生み出す」だろう。押収されたデータは、今後の捜査の糸口となり、新たな逮捕や他のサイバー犯罪組織の特定につながる可能性がある。特に、IPアドレスやメールアドレスといった運用セキュリティの不備が露呈した情報は、西側諸国に拠点を置くRAMPの利用者に対する逮捕を加速させる可能性が高い。
しかし、サイバー犯罪の構図は常に進化しており、法執行機関の勝利は一時的なものに過ぎないという現実も存在する。ウィルコック氏が指摘するように、RAMPが主にロシアの犯罪者に利用されていたことを考慮すると、今回の作戦が実際の逮捕に繋がる可能性は「極めて低い」という見方もある。サイバー犯罪者たちは、一つのプラットフォームが閉鎖されれば、すぐに別の場所へと移動し、新たなコミュニケーションチャネルや市場を構築する適応力を持っているからだ。
この「いたちごっこ」は、サイバーセキュリティの最前線で続く宿命的な戦いを象徴している。法執行機関は、犯罪インフラの破壊と情報収集を通じて、サイバー空間の秩序維持に努める。一方で、サイバー犯罪者たちは、その度に新たな戦略と技術を開発し、法の目を掻い潜ろうとする。RAMPの閉鎖は、この終わりのない戦いにおける重要な一章であり、今後のサイバー犯罪の動向を注視する必要があることを改めて示している。
参考情報
本記事は以下の情報源を参考に作成されました:
- -FBI Takes Down RAMP Ransomware Forum - https://www.infosecurity-magazine.com/news/fbi-takes-down-ramp-ransomware/
- -FBI takes notorious RAMP ransomware forum offline - https://www.bitdefender.com/en-us/blog/hotforsecurity/fbi-takes-notorious-ramp-ransomware-forum-offline
- -Flash Report: FBI Seizes Dark Web Forum RAMP - https://www.zerofox.com/intelligence/flash-report-fbi-seizes-dark-web-forum-ramp/