Microsoftがサイバー犯罪プラットフォーム「RedVDS」を摘発
Microsoftは、大規模なサイバー犯罪プラットフォーム「RedVDS」を摘発したと発表しました。RedVDSは、2025年3月以降、米国だけでも4,000万ドル以上の被害が報告されており、その影響の大きさが浮き彫りになりました。Microsoftは、Europolおよびドイツ当局と連携した国際的な作戦の一環として、米国と英国で民事訴訟を起こし、悪意のあるインフラを押収してRedVDSのマーケットプレイスと顧客ポータルを閉鎖に追い込みました。
この訴訟には、アラバマ州の製薬会社H2-Pharmaがビジネスメール詐欺で730万ドルを失い、フロリダ州のGatehouse Dock Condominium Associationが住民資金から約50万ドルを失うなど、2つの共同原告が加わっています。
RedVDSとは何か?その手口
Microsoftのデジタル犯罪部門のアシスタントゼネラルカウンセルであるスティーブン・マサダ氏は、「RedVDSは、わずか月額24ドルで、犯罪者に使い捨ての仮想コンピュータへのアクセスを提供し、詐欺を安価で大規模に行い、追跡を困難にしています」と述べています。
RedVDSは2019年から「サービスとしてのサイバー犯罪」プラットフォームとして運営されており、redvds[. ]com、redvds[. ]pro、vdspanel[. ]spaceといったドメインを使用していました。このサービスは、Storm-0259、Storm-2227、Storm-1575、Storm-1747などの複数のサイバー犯罪グループに、管理者権限と使用制限のない仮想Windowsクラウドサーバーへのアクセスを販売していました。
RedVDSの運用と技術的特徴
Microsoftの調査によると、RedVDSの開発者兼運営者(Storm-2470と追跡されている)は、単一のクローン作成されたWindows Server 2022イメージからすべての仮想マシンを作成していました。これにより、すべてのインスタンスが同じコンピュータ名「WIN-BUNS25TD77J」を共有するという独特の技術的特徴が残り、これが捜査官がこのサービスの操作を追跡するのに役立ちました。
RedVDSは、米国、英国、フランス、カナダ、オランダ、ドイツの第三者ホスティングプロバイダーからサーバーを借りていました。これにより、犯罪者は標的の地理的に近いIPアドレスをプロビジョニングし、位置情報に基づくセキュリティフィルターを容易に回避することができました。
顧客による悪用とAIの活用
捜査官は、RedVDSの顧客がレンタルサーバー上で幅広いマルウェアや悪意のあるツールを展開していたことを発見しました。
- 一括メール送信ユーティリティ
- メールアドレス収集ツール
- プライバシーツール
- リモートアクセスソフトウェア
このサービスにより、犯罪者は大量のフィッシングメールを送信し、詐欺インフラをホストし、暗号通貨決済を通じて匿名性を維持しながら詐欺スキームを促進することができました。RedVDSのサーバーは、認証情報の窃盗、アカウント乗っ取り、ビジネスメール詐欺(支払い流用とも呼ばれる)攻撃、不動産支払い流用詐欺にも使用され、後者はカナダとオーストラリアの9,000人以上の顧客に甚大な損失をもたらしました。
Microsoftは、RedVDSの顧客の多くが、より説得力のあるフィッシングメールを作成するためにChatGPTを含むAIツールを使用していたことを発見しました。その他には、顔交換、ビデオ操作、音声クローン技術を使用して、様々な信頼できる組織や個人になりすますケースも見られました。
攻撃の規模と影響
わずか1ヶ月間で、2,600台以上のRedVDS仮想マシンを制御するサイバー犯罪者は、Microsoftの顧客だけでも1日平均100万通のフィッシングメッセージを送信していました。これにより、過去4ヶ月間で約20万件のMicrosoftアカウントが侵害されました。
マサダ氏は、「2025年9月以降、RedVDSによる攻撃は、世界中の19万1,000以上の組織の侵害または不正アクセスにつながっています。これらの数字は、すべてのテクノロジープロバイダーにおける影響を受けたアカウントのサブセットに過ぎず、このインフラがいかにサイバー攻撃の規模を急速に拡大させるかを示しています」と付け加えました。
Microsoftのデジタル犯罪部門(DCU)は、9月にはCloudflareと連携して、サイバー犯罪者が数千件のMicrosoft 365認証情報を盗むのを助けた大規模な「サービスとしてのフィッシング」(PhaaS)運営であるRaccoonO365も摘発しています。