法執行機関がサイバー犯罪ネットワークに再び大きな打撃を与えた。 ユーロポールの「オペレーション・エンドゲーム」は現在第3段階にあり、マルウェアのホスティングと配布に使用されていた1000台以上のサーバーを解体した。 マルウェアをホスト・配布するために使用されていた1000台以上のサーバーを解体した。こうした世界規模の摘発は、ランサムウェア作戦を支えるインフラを暴く一方で、より深い真実も明らかにしている。攻撃者がいかに迅速に適応するか、という事実だ。
SOCチームにとって、これは単なる法執行機関の成功事例ではなく、妨害は一時的なものに過ぎないという教訓である。敵対者がツールやインフラを再構築する中で、次の動きを先読みして検知することが、常に一歩先を行くための鍵となる。
1. ボットネットに対する史上最大規模の作戦(2024年5月)
2024年5月、ユーロポールと法執行機関連合は、 史上最大規模のボットネット対策作戦と 称する作戦を調整した。 ボットネット。作戦「エンドゲーム」の第一段階では 、大規模な現代サイバー犯罪を支えるインフラを標的とした 。
焦点は マルウェア当てられた。これはシステムが侵害された後、ランサムウェアや認証情報窃取ツールなどの二次ペイロードを密かに配信するよう設計されたプログラムである。当局はIcedID、SystemBC、Pikabot、Bumblebee、Trickbot、Smokeloaderに関連するネットワークを解体した。これらは全て、攻撃者が企業ネットワークに侵入するために使用する初期アクセスエコシステムの主要構成要素である。
世界中で100台以上のサーバーと約2,000のドメインが差し押さえられ、感染システムと運営者間の通信が遮断された。欧州警察機構(ユーロポール)は、ランサムウェア攻撃を支える闇経済への「重大な打撃」と評した。
この最初の作戦は、単一の マルウェア ファミリーから、その背後に潜む犯罪サプライチェーンへと拡大する広範な攻勢の基盤を築いた。
2. ランサムウェアのキルチェーンを根源から断つ(2025年5月)
1年後、ユーロポールは 「オペレーション・エンドゲーム」の第2弾として、ランサムウェアのキルチェーンを根源から断つ攻撃と位置付けた。300台 以上のサーバーが停止され、 650のドメイン が無力化され、犯罪組織がローダーを配布し被害環境内で持続性を維持するために使用するインフラが機能不全に陥った。
この段階は戦略的転換を意味した。特定のmalware 解体する代わりに、法執行機関は 初期アクセスブローカー(IAB) 侵害されたネットワークへのアクセス権を販売する専門家である。彼らのインフラを排除することで、この作戦はランサムウェア展開の第一段階を遮断した。
当局はさらに350万ユーロ相当の仮想通貨を押収し、これにより「オペレーション・エンドゲーム」における押収総額は2100万ユーロを超えた。捜査の結果、アクセスを金で提供する世界規模の市場が明らかになり、ランサムウェア経済がいかに組織化され、拡張可能になったかが示された。
しかし、捜査官たちがランサムウェアの供給網を深く掘り下げていくにつれ、このインフラがどれほど強靭で分散化され、いかに迅速に復活しうるかも明らかになっていった。
3. サイバー犯罪インフラの終焉(2025年11月)
2025年11月に発表された最新の更新情報は、これまでで最大かつ最も広範な「オペレーション・エンドゲーム」の段階 を示すものである。当局は20カ国以上で1,025台のサーバーを解体し、複数の形態のマルウェアをホスト、制御、配布するために使用されていたインフラを事実上機能不全に陥らせた。 マルウェアをホスト、制御、配布するために使用されていたインフラを事実上機能不全に陥らせた。
初期段階からの情報により、捜査官は指揮統制エコシステム全体をマッピングし、フィッシング、認証情報窃取、ランサムウェア攻撃といった活動間の関連性を明らかにした。これらは世界中で数万のシステムを侵害していた。
数十件の逮捕が行われ、押収されたデジタル資産の法医学的分析により、malware に関連する暗号通貨ウォレット、盗まれた認証情報、コードベースが発見された。欧州警察機構(ユーロポール)は、検出回避のために堅牢なクラウドベースのホスティングサービスに依存していたmalware 「終焉」と表現した。
この摘発により犯罪能力は大幅に阻害されたものの、専門家はサイバー犯罪インフラが急速に再生すると警告する。既知のサーバーやドメインが摘発されると、新たなものが出現する。それらは正当なクラウドワークロードや暗号化チャネル内に隠蔽されることが多い。防御側にとって、これは法執行機関の対応に限界があることを意味する。妨害が止んだ後は、継続的な検知が引き継がねばならない。
なぜこれがSOCチームにとって重要なのか
1. 混乱は脅威を排除しない
オペレーション・エンドゲームは、大規模なインフラ破壊でさえリスクを根絶できないことを証明した。攻撃者は数日以内に素早く再構築する。SOCチームにとって、これは昨日の侵害の兆候が急速に価値を失うことを意味する。静的な防御と シグネチャベースのツールでは対応しきれない。唯一の持続可能なアプローチは、攻撃者がどのインフラから活動しているかにかかわらず、彼らが再利用する手法を特定する振る舞い 。
2. 初期アクセス層は依然として最も脆弱な部分である
エンドゲーム作戦の各段階は、犯罪供給網の異なる階層を標的としてきたが、 初期アクセスブローカー マルウェア、同じ真実を浮き彫りにしている:侵害の最も初期段階こそが、防御が最も脆弱な領域であることが多いのだ。
これらのツールは正当なネットワークトラフィックに溶け込み、エンドポイント、ID、クラウド監視の間の隙間を悪用する。それらを検知するには、クロスドメインの可視性、予期しない認証パターンの発見、ラテラルムーブ、またはランサムウェア展開前の侵害を示す異常なデータステージングが必要となる。
3. ハイブリッドおよびクラウド環境
「オペレーション・エンドゲーム」で押収されたサーバーは、犯罪者向けホスティングプロバイダーに限定されなかった。多くのサーバーは正規のクラウド環境に設置されており、 攻撃者が企業も依存する同じプラットフォームを悪用している実態が明らかになった。これはSOCチームが日々直面する課題と符合する。すなわち、従来の境界防御が通用しないハイブリッド環境やSaaS環境において、可視性が 断片化しているという現実である。
防御側は監視範囲を、ネットワークトラフィック、IDシステム、クラウドワークロードといった現代の脅威が活動する領域にまで拡大しなければならない。それが、通常の活動に紛れて潜む検知 唯一の方法である。
継続的な可視性こそが唯一の真の破壊的革新である
オペレーション・エンドゲームは、協調的な妨害が有効であることを示したが、真の試練は排除後から始まる。犯罪組織は、静的な防御が追いつくより速い速度で再構築し、適応し、新たなインフラへ移行する。
SOCチームにとって、継続的な可視性と文脈に基づく検知こそが、常に一歩先を行く唯一の方法である。目標は単なる個別のアラート検知ではなく、アイデンティティの異常、特権昇格、ラテラルムーブ、データ流出といった要素を結びつけ、攻撃者の意図を暴く単一の行動可能なストーリーとして可視化することにある。
まさにここで Vectra が真価を発揮する場面です。ネットワーク、アイデンティティ、クラウドを横断するエージェントレスなAI主導 振る舞い により、 Vectra 攻撃者の行動が顕在化した瞬間をVectra 。インフラが新設されたばかりの場合でも例外ではありません。断片的なシグナルを明確な文脈へと変換することで、攻撃者が態勢を立て直す前に、アナリストが断固たる対応を可能にします。
Vectra AI プラットフォームが他社が見逃す脅威をどのように検知するかをご覧ください。 セルフガイドデモを開始 振る舞いを活用した検知の実力を体感してください。