序章:サイバー犯罪の温床「RedVDS」の壊滅作戦
2026年1月15日、サイバーセキュリティの世界に衝撃が走った。マイクロソフトは、国際的な法執行機関と連携し、世界規模で展開されていたサイバー犯罪のサブスクリプションサービス「RedVDS」を壊滅させたと発表したのだ。この大規模な作戦は、米国と英国における協調的な法的措置と、ユーロポールおよびドイツ当局を含む国際的な法執行機関との共同努力によって実現された。RedVDSは、わずか月額24ドルという破格の料金で、犯罪者に対して使い捨ての仮想コンピューターへのアクセスを提供し、数千万ドル規模の詐欺被害を助長してきたとされる。
このサービスは、サイバー犯罪の「サービス化」(Crimeware-as-a-Service, CaaS)という現代の脅威を象徴する存在だった。高度な技術的専門知識を持たない者でも、容易に複雑なサイバー攻撃を実行できる環境を提供することで、サイバー犯罪のエコシステムを大きく変革してきたのである。マイクロソフトのデジタル犯罪対策ユニット(Digital Crimes Unit)のアシスタント・ジェネラル・カウンセルであるスティーブン・マサダ氏は、「RedVDSが提供する仮想マシンは、安価でスケーラブル、そして追跡が困難な詐欺を可能にした」と述べ、その危険性を強調している。
RedVDSの活動は、2025年3月以降、米国だけで約4,000万ドルもの詐欺被害をもたらしたと報告されている。これは、単一のサービスがどれほど広範かつ壊滅的な影響を及ぼし得るかを示す、恐るべき数字である。このサービスは、無許可のWindowsソフトウェアを実行する仮想マシンを提供し、国境を越えた迅速かつ匿名での活動を可能にしていた。サイバー犯罪者は、これを利用して大量のフィッシングメールを送信し、詐欺インフラをホストし、様々な詐欺スキームを支援していたのである。
今回の作戦は、単に特定の犯罪グループを標的にするだけでなく、サイバー犯罪を支える基盤そのものを破壊しようとする、より広範な取り組みの一環である。RedVDSの閉鎖は、サイバー犯罪者が利用する共有インフラを断ち切ることの重要性を改めて浮き彫りにした。マイクロソフトは、このサービスが提供するインフラを悪用して、世界中の191,000以上の組織がアカウントの侵害や不正アクセスを経験したと指摘しており、その影響の甚大さがうかがえる。
RedVDSの全貌:サイバー犯罪を民主化したサービス
RedVDSは、サイバー犯罪者にとって魅力的な「ワンストップショップ」として機能していた。そのサービスは、安価で使い捨て可能な仮想コンピューターをオンラインサブスクリプション形式で提供し、無許可のWindowsソフトウェアを搭載していた。これにより、犯罪者は匿名性を保ちつつ、国境を越えて迅速に活動を展開できたのである。ウェブサイトのFAQセクションでは、Telegramボットを使ってサーバーを管理できる機能も紹介されており、利便性の高さがうかがえる。
このサービスは、特にWindowsベースのリモートデスクトッププロトコル(RDP)サーバーの販売に特化しており、顧客は完全な管理者権限と使用制限なしでこれらを利用できた。カナダ、米国、フランス、オランダ、ドイツ、シンガポール、英国など、世界各地にサーバーを配置することで、犯罪者は標的の地理的位置に近いIPアドレスを利用し、位置情報に基づくセキュリティフィルターを回避し、通常のデータセンターのトラフィックに紛れ込むことが可能だった。
RedVDSのウェブサイトは2019年に開設されたが、その起源はさらに古く、2017年にはDiscord、ICQ、Telegramといったプラットフォームで運営が開始されていたという。かつてのウェブサイトのスナップショットからは、「生産性を向上させ、自宅で快適かつ容易に作業する」といった、一見すると合法的なビジネスを装った広告が確認されている。しかし、その実態は、フィッシングメールの送信、マルウェアの配布、違法コンテンツの転送、脆弱性スキャン、DoS攻撃といった行為を禁止する利用規約を設けながらも、裏ではこれらの活動を助長するインフラを提供していたのである。
RedVDSがサイバー犯罪者にとって特に魅力的だったのは、活動ログを保持しないという特徴にあった。これにより、犯罪者は自らの行動の痕跡を残すことなく、高ボリュームのフィッシングメールを送信したり、詐欺インフラをホストしたり、ビジネスメール詐欺(BEC)スキームを実行したり、アカウント乗っ取りを企てたりすることができた。この匿名性と低コスト、そして容易なアクセス性が、RedVDSを過去1年間でサイバー犯罪者にとって極めて強力なツールへと押し上げた主要因である。
巧妙化する攻撃手口:AIとRDPが悪用された実態
RedVDSが提供するインフラは、サイバー犯罪者がその攻撃を高度化させるための温床となった。特に注目すべきは、生成AI(GenAI)ツールとの組み合わせである。犯罪者はGenAIを活用して高価値の標的を迅速に特定し、正規の通信と見分けがつかないほどリアルなマルチメディアメッセージのメールスレッドを作成していた。これにより、被害者は疑うことなく詐欺メールを開封し、指示に従ってしまう可能性が高まった。
さらに、攻撃者は欺瞞の手口を一層巧妙にするため、顔交換、動画操作、音声クローンといったAIツールを悪用し、個人を偽装して被害者を騙していた。これにより、視覚的・聴覚的な要素が加わり、従来のテキストベースのフィッシングよりもはるかに説得力のある詐欺が可能となった。マイクロソフトは、RedVDSの仮想マシンが、わずか1ヶ月間で、同社の顧客だけでも1日平均100万通ものフィッシングメッセージを送信していたと報告しており、その規模の大きさがうかがえる。
RedVDSの技術的な基盤も、攻撃の効率化に貢献していた。このサービスは、単一のWindows Server 2022イメージから仮想Windowsクラウドサーバーを生成し、RDPを通じて提供していた。特筆すべきは、すべての識別されたインスタンスが「WIN-BUNS25TD77J」という同じコンピューター名を使用していた点である。これは、RedVDSの運営者であるStorm-2470が、1つのWindows仮想マシンを作成し、システムIDを変更せずに繰り返しクローンしていたことを示唆している。
このクローン技術は、Quick Emulator(QEMU)仮想化技術とVirtIOドライバーを組み合わせることで実現されていた。顧客がサーバーを注文し、暗号通貨で支払いを行うたびに、マスター仮想マシンイメージが新しいホストにコピーされ、数分以内に新しいRDPホストが立ち上がる自動化されたプロセスが確立されていた。この戦略により、サイバー犯罪者は最小限の摩擦で、標的のリサーチ、フィッシングインフラの構築、資格情報の窃取、メールボックスの乗っ取り、そしてなりすましに基づく金融詐欺を大規模に展開できるプラットフォームを手に入れていたのである。
世界を蝕んだ被害の広がり:標的となった組織と具体的な損失
RedVDSが提供するインフラは、世界中の広範な組織に壊滅的な影響をもたらした。2025年9月以降、RedVDSによって助長された攻撃により、世界中で191,000以上の組織がアカウントの侵害や不正アクセスに直面したとマイクロソフトは報告している。これらの数字は、RedVDSのインフラがサイバー攻撃の規模をいかに急速に拡大させたかを示すものであり、全てのテクノロジープロバイダーにおける被害のほんの一部に過ぎないという。
特に頻繁に標的となったのは、不動産関連の組織であった。物件の売買、エスクロー処理、決済業務に携わる企業が狙われ、支払い指示詐欺によって多額の資金が奪われた。カナダやオーストラリアでは、9,000人以上の顧客が不動産関連の詐欺によって直接的な影響を受けたとされる。また、医療機関も被害に遭い、運営費や医療費として確保されていた資金が盗まれた事例も確認されている。地域社会や会員制の団体も、修繕費や維持費、計画されていたプロジェクトのための資金を失う事態に陥った。
具体的な被害事例として、アラバマ州の製薬会社H2 Pharmaは730万ドル以上、フロリダ州のGatehouse Dock Condominium Associationは50万ドル近くを詐取されたことが明らかになっている。これらの事例は、攻撃者が日常的な支払い活動に依存する組織を狙い、メールベースの調整プロセスを悪用して不正な支払い指示を挿入するという、RedVDSが助長したビジネスメール詐欺(BEC)の典型的な手口を示している。
マイクロソフトの脅威インテリジェンス部門は、RedVDSによって助長された詐欺が、法務、建設、製造、物流、教育といった多様なセクターの組織にも及んでいたことを指摘している。米国、カナダ、英国、フランス、ドイツ、オーストラリア、そして主要な銀行インフラを持つ国々が広範な標的となり、その影響は地理的にも多岐にわたった。RedVDSは、サイバー犯罪者がターゲットの機密情報や資金を狙う上で、極めて効果的な手段を提供していたのである。
闇のネットワーク:Storm-2470と共犯者たち
RedVDSの背後には、マイクロソフトが「Storm-2470」と追跡する開発者および運営者が存在していた。このグループは、サイバー犯罪市場に安価で匿名性の高いインフラを提供することで、サイバー犯罪のエコシステムにおいて中心的な役割を担っていた。しかし、RedVDSを利用していたのはStorm-2470だけではない。マイクロソフトの脅威インテリジェンスは、Storm-2227、Storm-1575、Storm-1747といった少なくとも5つの追加のサイバー犯罪グループ、さらには2025年9月以前にRaccoonO365フィッシングサービスを利用していたフィッシングアクターもRedVDSのインフラを悪用していたことを特定している。
これらの脅威アクターは、RedVDSが提供する仮想ホスト上で、悪意のあるソフトウェアとデュアルユースソフトウェアの両方を含む多様なツールキットを展開していた。具体的には、大量のスパム/フィッシングメール送信ツールとして「SuperMailer」「UltraMailer」「BlueMail」「SquadMailer」「Email Sorter Pro/Ultimate」が、メールアドレス収集ツールとして「Sky Email Extractor」が使用されていた。さらに、匿名性を確保するためのプライバシー/OPSECツールとして「Waterfox」「Avast Secure Browser」「Norton Private Browser」「NordVPN」「ExpressVPN」が、リモートアクセスツールとして「AnyDesk」が利用されていた。
RedVDSのユーザーの中には、より高度な手口を試みる者もいた。ある脅威アクターは、Microsoft Power Automate(Flow)をExcel経由でプログラム的に利用し、メールを送信しようと試みていた(ただし、これは不成功に終わったとされている)。また別のRedVDSユーザーは、ChatGPTやその他のOpenAIツールを駆使してフィッシングの誘い文句を作成し、組織のワークフローに関する情報を収集して詐欺を実行したり、資格情報を窃取して被害者のアカウントを乗っ取るためのフィッシングメッセージを配布したりしていた。
これらの攻撃の最終目標は、極めて説得力のあるビジネスメール詐欺(BEC)を仕掛けることにあった。脅威アクターは、サプライヤーとの正規のメール会話に割り込み、不正な請求書を発行することで、標的を騙して自らの管理下にある資金移動用口座に送金させようとしていたのである。RedVDSの利用規約には、フィッシングメールの送信などが禁止されていたにもかかわらず、そのインフラはこれらの違法行為を大規模に助長しており、運営者が責任を回避しようとする意図がうかがえる。
法執行機関の連携とサイバー犯罪エコシステムへの警鐘
今回のRedVDS壊滅作戦は、サイバー犯罪に対する国際的な法執行機関の連携がいかに重要であるかを明確に示した。マイクロソフトは、米国と英国での協調的な法的措置に加え、ユーロポールおよびドイツ当局との共同作戦を通じて、RedVDSの悪意あるインフラを押収し、その違法なサービス(redvds[.]com、redvds[.]pro、vdspanel[.]space)をオフラインにすることに成功した。この作戦は、単にサービスを停止させるだけでなく、その背後にいる個人を特定するための基盤を築くことにも貢献している。
RedVDSの技術的な分析は、その運営手法の巧妙さと同時に、脆弱性も露呈させた。調査により、数千もの盗まれた資格情報、標的組織から窃取された請求書、大量メール送信ツール、フィッシングキットが発見されたことは、複数のWindowsホストがすべて同じ基本となるWindowsインストールから作成されていたことを示している。さらに、ほとんどのホストが単一のコンピューターIDを使用して作成されており、同じWindows Eval 2022ライセンスがこれらのホストの作成に悪用されていたことが判明した。
Storm-2470は、この盗まれたライセンスを使用してイメージを作成することで、サービスを大幅に低コストで提供し、脅威アクターにとって非常に魅力的なものにしていた。仮想Windowsクラウドサーバーは、単一のWindows Server 2022イメージからRDPを介して生成され、すべてのインスタンスが「WIN-BUNS25TD77J」という同じコンピューター名を使用していた。これは、Storm-2470が1つのWindows仮想マシン(VM)を作成し、システムIDを変更せずに繰り返しクローンしていたことを示唆しており、研究者がユニークな技術的痕跡を特定する手がかりとなった。
マイクロソフトは、「サイバー犯罪は共有インフラによって動かされており、個々の攻撃者を阻止するだけでは不十分である」と強調している。RedVDSのような「サービスとしての犯罪」(CaaS)モデルは、サイバー犯罪の敷居を下げ、経験の浅い脅威アクターでも複雑な攻撃を迅速かつ大規模に実行できるようにした。今回のRedVDSの停止は、このような共有インフラを標的とすることの有効性を示すものであり、サイバー犯罪エコシステム全体に対する継続的な圧力の必要性を訴える警鐘でもある。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Microsoft shuts down RedVDS cybercrime subscription service tied to millions in fraud losses - https://www.helpnetsecurity.com/2026/01/15/microsoft-shuts-down-redvds-cybercrime-subscription-service/
- -Microsoft Legal Action Disrupts RedVDS Cybercrime Infrastructure Used for Online Fraud - https://thehackernews.com/2026/01/microsoft-legal-action-disrupts-redvds.html
- -Microsoft seizes RedVDS infrastructure, disrupts fast-growing cybercrime marketplace | CyberScoop - https://cyberscoop.com/microsoft-seizes-disrupts-redvds-cybercrime-marketplace/