不法エコシステムを解説：主流アプリとソーシャルインフラの武器化

「不法エコシステムを解説」シリーズの第2弾として、本稿では脅威アクターの活動を助長する共有インフラ、すなわち主流のソーシャルメディア、オープンソースのメッセージングプラットフォーム、ゲームコミュニティの交差点に焦点を当てます。

脅威アクターとその不法コミュニティは、どこか特別な場所に切り離されて存在しているわけではありません。活動規模を拡大し、金融詐欺を働くだけでなく、マルウェアを展開し、新たな人材を募集するために、脅威アクターはより広範なデジタル世界と接点を持つ必要があります。つまり、森の中に木を隠すような形で身を潜めながら、身近な公共のデジタル空間を利用して不法行為を進めているのです。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2026年6月8日付）を翻訳したものです。

クリアネットの脅威ランドスケープ：森の中に木を隠す

サイバー犯罪の地下組織を思い浮かべる際、Torベースのオニオンサイトやアクセス制限のあるダークウェブのフォーラム／マーケットプレイスだけを意識しがちですが、現代の不法行為の大部分はクリアネット上で、すなわち通常のインターネット空間で行われています。攻撃者は詐欺攻撃の管理、マルウェア展開、そして自らの活動を宣伝するために、一般的なソーシャルメディアやメッセージングネットワークを頻繁に利用します。

常識的に考えれば、厳重に監視されている主流プラットフォーム上で不法な活動を行うことは、矛盾した行為に思えるかもしれません。しかし、クリアネット上の膨大かつ継続的な正規トラフィックは、ある種の運用上のセキュリティとして機能します。脅威アクターはこうしたノイズに紛れることで、アクセシビリティに優れたデジタルプレゼンスを維持できるようになります。プレゼンスの高さは、攻撃者のビジネスモデルにとって有利に働く要素です。すでに犯罪活動に興味を持っている新参者であれば、不法コミュニティを見つけるための指標を知っています。またその一方で、特定の人物をこうしたコミュニティに誘導することもあり、いずれのケースでもプレゼンスの高さが参入障壁を下げ、新たな人員の確保を容易にしているのです。

商用プラットフォームの武器化

主流コミュニケーションツールの悪用は、脅威アクターの行動様式を変えています。サイバー犯罪者はダークウェブを訪れるユーザーを待つのではなく、日常的に使われるソーシャルプラットフォーム上で、標的や共謀者と積極的に接触するようになりました。

Discord

本来はゲームコミュニティ向けコミュニケーションサービスとして開発されたDiscordですが、急速な普及と堅牢なインフラにより、意図せず不法行為の活動拠点になりました。サイバー犯罪者には技術インフラとしてだけでなく、ソーシャルエンジニアリングやラディカライゼーション（急進主義的な過激思想の拡大）を支援する多機能ツールとして利用されています。

高度持続的脅威（APT）やその他の脅威アクターは、マルウェアをホストし、配布するためにDiscordのコンテンツ配信ネットワーク（CDN）を悪用しています。通常、Discordドメインへのトラフィックは企業ネットワークで信頼されているため、攻撃者はこれを利用して標準的な境界型セキュリティを回避し、インフォスティーラー（情報窃取型マルウェア）やリモートアクセス型トロイの木馬（RAT）などのペイロードを拡散します。

また、このプラットフォームのユーザー層、とりわけテクノロジーに精通した若い世代は、さまざまなイデオロギーを持つ過激派グループに頻繁に狙われています。こうしたユーザー層は影響を受けやすい青少年を中心に構成されているため、マインドコントロールや洗脳、不法行為への勧誘を受け入れてしまう可能性が高くなっています。

ケーススタディ：「The Com」の標的設定と勧誘メカニズム

FlashpointのアナリストはThe Comを監視する中で、DiscordやRoblox、Minecraftといったプラットフォームが組織的に利用され、悪質な恐喝パイプラインを形成していることを確認しました。このエコシステムの仕組みには、複数のフェーズから成り立つ方法論が取り入れられています。

• プラットフォームでの勧誘：リクルーターはDiscord・Roblox・Minecraftのような、主に若年層が利用するゲーム関連のプラットフォームを巡回し、社会的孤立や抑うつ、摂食障害、所属欲求の兆候を示す未成年者に狙いを定めます。
• 信頼関係の構築と「ラブボミング」：出会ってすぐのうちは、無害なやりとりが行われます。しかし、リクルーターがゲーム内アイテムや特典、プレミアムサブスクリプション、デジタルアイテムなどを贈り、信頼関係が速やかに構築される中で、被害者は恩義を感じるようになります。時には、ロマンチックな雰囲気を装って関係を築くこともあります。いずれの場合も、関係構築の初期段階で行われる過剰な愛情表現（ラブボミング）を通じて、ターゲットを心理的に支配します。
• プラットフォームの移動：信頼関係を築くと、リクルーターはターゲットをパブリックなゲームの世界から離れさせ、暗号化されたメッセージアプリや非公開のDiscordサーバーなど、よりプライベートな領域へ戦略的に誘導します。安全策が講じられているプラットフォームから遠ざけることで、リクルーターは被害者を容易に支配できるようになります。

その後、加害者は被害者に性的な画像（CSAM）の送信を強要します。これらの画像は収集され、ドクシングによる恐喝の手段として悪用されます。被害者は画像が流出することを恐れ、より過激な不法行為に加担せざるを得ないという深刻な心理状態に陥り、ついには被害者から加害者に変わります。

Telegram

ソーシャルメディアやメッセージングプラットフォームの多くが脅威アクターと被害者のファーストコンタクトの場になっていますが、Telegramはより広範な不法エコシステムの活動拠点としてしばしば利用されていることで知られています。創業者パベル・ドゥーロフ氏が逮捕されて以来、Telegramは法執行機関との連携を深めるようになり、その結果として複数の黒幕の逮捕や不法サービスの停止につながりました。

脅威インテリジェンスやオープンソースインテリジェンス（OSINT）において、Telegramの立ち位置は独特なものになっています。そのユーザーベースの大多数を占めるのは、不法行為とは関係のない普通の人々です。しかし、モデレーションを必要最小限にとどめる方針や堅牢なチャンネルアーキテクチャが一部のユーザーによって悪用されているため、Telegramは公開／非公開のインテリジェンスを収集する作業に欠かせないものとなっています。

多種多様な脅威アクターがTelegramを使い、オープンマーケットプレイスやリアルタイムの協調活動を行うための場としています。Flashpointが観測した有害ユーザーは以下の通りです。

• 国家支援を受けるAPTグループやハクティビスト
• 地政学的動機を持つアクターや、戦況に関するインテリジェンス・プロパガンダを配布する傭兵グループ
• 金融詐欺・小切手詐欺・侵害データの販売を協調的に行うサイバー犯罪集団

さらに、TelegramだけでなくX（旧Twitter）などのパブリックなプラットフォームを普段から併用することで、脅威アクターは自らの影響力を強めています。ソーシャルメディアの広範なリーチを活用し、侵害の実績やランサムウェアを通じた情報流出を大々的にアピールするとともに、恐喝の段階では被害企業に公然と圧力をかけるのです。Telegramをバックエンドリポジトリとして利用する事例も頻発しており、盗まれたデータがホストされたり、議論や収益化のために使われたりしています。

Flashpointを使ってクリアネットを監視

このような不法エコシステムの発展から、ダークウェブとクリアネットの境界は交錯していることが読み取れます。過激主義者や脅威アクター集団による活動の分析、あるいはThe Comの搾取パイプラインの追跡を行う際に、防御側は従来のインテリジェンスソースよりも広い範囲を調査する必要があります。

脅威アクターは協調攻撃やデータ漏洩、標的選定を行うため、個人向けメッセージングアプリやソーシャルプラットフォームを多用しています。したがって、こうした「パブリックからプライベートな領域に誘い出す通信経路」を監視することは、脅威インテリジェンスに欠かせない重要な要素となります。実空間とデジタルの両領域で活動する脅威を見つけ出すには、クリアネット上の膨大なノイズを解析し、協調的に行われる不法活動の兆候を捉えることができる、最高水準の脅威インテリジェンスとOSINTを活用した調査が不可欠です。

分散型の脅威ランドスケープを監視し、重要資産をプロアクティブに保護するセキュリティチームをFlashpointがどのように支援しているのか。その詳細を確認するには、デモをお申し込みください。

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。