不法エコシステムを解説：「The Com」のハイブリッド型脅威

本稿では「The Com」の分散型組織構造について掘り下げるとともに、ハッキング・恐喝・実世界での暴力が混在するハイブリッドなエコシステムの詳細や、サイバー詐欺の「自給型パイプライン」としての役割、青少年搾取の温床となっている仕組みを明らかにします。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2026年5月26日付）を翻訳したものです。

「The Com」とは？

「The Community」あるいは「The Com」の名で広く知られるこの組織は、サイバー犯罪を通じて得た利益を自国産テロの資金として利用する、高度なハイブリッド脅威エコシステムです。2010年代初頭から存在し、主要なソーシャルメディアとアンダーグラウンドの犯罪ネットワークが重なり合うエッジスフィア、すなわち虚無主義的暴力過激主義（NVE）と高度な金融詐欺が渦巻くグレーゾーンで活動しています。フォーチュン500企業に対するサイバー犯罪を主な収入源とするThe Comは、若者の過激化と実世界での暴力助長を目論む自国産テロネットワークに資金を提供しています。

また、The Comは金銭的リスク要因であるだけでなく、被害者を加害者に変える「自給型パイプライン」としても機能しています。盗んだ資金で使い捨ての駒となる青少年を勧誘し、被害者を加害者に変えるのです。The Comは従来の脅威アクター組織と異なり、個人が集まった分散型ネットワークであるにもかかわらず、企業のセキュリティ、保護者の監視、法執行機関の目が届かない隙間で密かに勢力を拡大してきました。

The Comの組織構造

The Comは単一組織として構成されているかのように誤解されがちですが、そのエコシステム全体は構造化されておらず、共通の価値観や統率力も存在しません。しかし、エコシステム内のさまざまな部門は高度に組織化され、サイバー犯罪・未成年者の搾取・実世界での暴力という3つの主要な犯罪活動を支えています。

連邦捜査により、The Comには成人と未成年者、男性と女性が混在していることが明らかになっています。メンバーの正確な人数を特定することは難しいものの、広範なエコシステム全体で数千人規模とFlashpointは推定しています。また、世界各国に脅威を与えているとはいえ、最も活動的な中核メンバーは英国・米国・カナダなど西側諸国の英語圏に集中しています。

The Comの3本柱

The Comのエコシステムは分散型ですが、その内部構造は高度な連携によって特徴付けられています。各部門内の個々のグループやネットワークは、共通のマインドと標準化された手法を用いており、これによって犯罪活動の有効性と再現性を確保しています。

しかしFlashpointは、各部門のメンバーが別個に活動しているわけではないことを突き止めています。異なる部門（ハッキング、恐喝、実世界での暴力行為）のメンバーが交流することにより、目的に合ったより強力な脅威をもたらしています。

Hacker Com：The Comの経済的原動力

Hacker Comはこのエコシステムの経済的原動力であり、技術部門の大黒柱として機能しています。その主な役割は、大手企業へのハッキングや金融詐欺を行い、コミュニティ全体の活動資金や維持費を稼ぎ出すことにあります。

The Comのエリート技術層を自称するHacker Comのメンバーは、金銭的利益の獲得に加え、企業のセキュリティインフラを出し抜くスリルを主な動機としています。この部門に属する著名なクルーには、Scattered Spider、LAPSUS$、ShinyHunters、DragonForceなどが挙げられます。

Hacker Comの戦術・技術・手順

Hacker Comが使用するTTPとして、以下のようなものが確認されています。

ソーシャルエンジニアリング（ビッシング）

Hacker Comのメンバーは、ソフトウェアなどの脆弱性を悪用するだけでなく、人間の隙や弱点を狙ったTTPを活用しています。特にビッシング（ボイスフィッシング）はScattered Spiderの代表的な手口であり、英語を母語とするメンバーが企業のITヘルプデスクに電話をかけ、その企業の従業員になりすまします。 

アナリストによると、こうした攻撃を実行するのはZ世代である可能性が高く、テクノロジー企業の若い幹部のせっかちな態度や言葉遣いを模倣し、年配のサポートスタッフにソーシャルエンジニアリングを行っています。つまり、ジェネレーションギャップに付け込み、サポートスタッフにパスワードのリセットや、新たな多要素認証（MFA）デバイスの再登録を促し、被害者のネットワークへのアクセス権を獲得しているのです。

サプライチェーンの侵害

この部門に属するメンバーは、企業や組織が信頼するベンダーを攻撃して主要な標的への侵入に成功しています。例えば、Lapsus$はOktaを侵害するためにサードパーティ請負企業のSykesを標的にし、Scattered SpiderはOktaのIDサービスを繰り返し侵害することで顧客のネットワークに侵入しました。

環境寄生型（LOTL）攻撃

ネットワークに侵入した攻撃者は、正規の既存ソフトウェアやAnyDesk・Ngrok・Teleportなどのリモート管理ツールを利用して検出を回避しつつ、永続的なアクセスを維持し、ネットワーク内を水平方向に移動します。The Comはこのような侵入行為をゲーム感覚で行っており、複雑なエクスプロイトによるハッキングではなく、標準的な管理ツールを使って簡単に「ログイン」して被害者をあざ笑います。システムへ容易に侵入できることを、被害者の無能さの証とみなすのです。

SIMスワッピング

SIMスワップ詐欺は、金銭目的の攻撃者が用いる基本的なTTPです。通信事業者にソーシャルエンジニアリングを仕掛け、標的の電話番号を乗っ取ります。このような攻撃の多くは、高価値な暗号資産口座の乗っ取りにつながります。

EXTORT Com：The Comのイデオロギー部門

Extort Comは、未成年者に対する心理的支配、強制、性的搾取を行う部門です。その狙いは虚無主義的暴力過激派（Nihilistic Violent Extremism、NVE）のイデオロギー、すなわち暴力や社会的混乱そのものを目的とした暴力行為を推奨・促進する考えと完全に一致しています。児童性的虐待コンテンツ（CSAM）や過激な暴力行為の市場および生産拠点となっており、メンバーはそのようなコンテンツを一種の社会的通貨として取引することがあります。

被害者はソーシャルメディアやRoblox、Minecraftなどのビデオゲームといった公開チャンネルから、The Comが管理する非公開チャンネルへ招待されます。その後は積極的な搾取活動のフェーズに移行し、被害者が確実に服従するように仕向けます。

IRL Com：The Comの実働部隊

IRL（In Real Life、実世界）部門は、この不法エコシステムにおける「実力行使部隊」であり、仮想空間における脅威を実世界での損害に変える役割を果たしています。法執行機関がこうした活動を「IRLテロ」と呼ぶこともあるように、IRLのメンバーはオンライン上の敵対関係や対立を実世界の人的・金銭的危害に転換します。

Flashpointでハイブリッド型脅威から組織を守る

The Comの進化は、世界の脅威ランドスケープにおける根本的な変化を象徴しています。したがって、サイバー犯罪を単なる金銭リスクとして、あるいは国内の過激主張を純粋なイデオロギー的リスクとして捉えるだけでは不十分です。両者は融合しており、盗まれた企業資本がさらなる過激化と搾取を助長するような、自己持続的な原動力を伴っています。

The Comがその手口を高度化させ、活動範囲を拡大し続けるにつれ、デジタル世界と実世界の境界はますます曖昧になっていきます。企業や組織がこのような分散型脅威から身を守るためには、こうした脅威グループの中枢から得られる情報に基づいた多層的な防御戦略が必要です。その詳細を確認するには、デモをお申し込みください。

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。