9月7日午後7時すぎ、グーグル検索では決してたどり着けないインターネット上にある二つの「闇サイト」に、同じ情報が相次いで投稿された。外部から社内ネットワークに接続するために使うVPN機器（米国製）から抜き取った情報、との触れ込みだった。

　サイトの一つは、「Groove」という組織名がタイトルにあった。企業などにデータを暗号化するウイルスを送りつけ、暗号解除の身代金を要求する「ランサムウェア」を使うロシア系のサイバー犯罪集団だ。

　もう一つは、「RAMP」という会員制の闇サイトだった。「Russian　Anonymous　Marketplace」（ロシアの匿名市場）の略で、かつて存在した同名のロシア語のアンダーグラウンドサイトを模倣したものとみられている。違法薬物などを扱っていた「本家」は2017年、ロシア内務省が「活動停止に追い込んだ」と公表した。

　記者は投稿されたリーク情報をダウンロードし、中身を調べた。

　約8万7千台の機器に保存された、利用者のIDとパスワードのリストとみられる情報だった。のべ50万人分のアカウントに相当する件数が見つかった。日本国内の台数を抜き出すと、重複を除き1700台近くを数えた。

　一体、犯罪者の狙いはどこにあるのか。取材を進めていくと、ランサムウェア攻撃をめぐるサイバー犯罪の組織的な実態が浮かび上がってきた。

ホワイトハッカーが潜入調査

　今回のリークについて、記者はホワイトハッカーからの連絡で詳細を知った。

　このホワイトハッカーは20代の日本人男性だ。これまで様々なサイバー犯罪の実態解明にかかわっており、FBI（米連邦捜査局）や欧州の法執行機関などにも情報を提供している。

　男性はリーク情報の舞台となった会員制の闇サイトRAMPに以前から潜入し、その動向をウォッチしていた。そこで今回のリーク情報が投稿されたことを覚知した。そして記者に連絡してきたのだ。

　「情報の取得経緯までは確認できていませんが、おそらく攻撃に使える情報ではないかと思っています」

　過去に流出した情報と照らし合わせるなどした結果、偽情報や寄せ集めではない、と男性はみていた。その見立ては的中した。

　VPN機器の製造元である米フォーティネット社が米国時間の8日、「悪意のある攻撃者がクレデンシャルを開示」というタイトルで、情報が本物であることを事実上認めた声明文を公式ウェブサイトに掲示した。

　「クレデンシャル」とは、IDやパスワードなど利用者を識別するための情報を意味する。同社は利用者に対しパスワードのリセットなどを呼びかけた。

　そんなIDとパスワードのリストをなぜ公表したのか。そこには、ランサムウェアを使う犯罪集団の特徴とも言える、組織の運営が深く関係していた。

「ビジネス目的」で組織をPRか

　男性がこれまでに調べた犯罪集団の特徴はこうだ。

　犯罪集団には、ランサムウェ…