そのセキュリティ対策企業は信用できる？ ランサムウェア被害で露呈した「支援企業リスク」：防御側の人間が攻撃に加担

米司法省は2026年4月、ランサムウェア集団に協力したとして、サイバーインシデント対応代行企業の元社員が有罪を認めたと発表した。

[Jill Hughes，TechTarget]

　ランサムウェア攻撃といえば、外部から侵入してくる攻撃者に注目が集まりがちだ。だが、今回明らかになった事件は、企業が頼りにしていた「防御側の人間」が攻撃側に回る危険性を示している。

　米司法省（DOJ）は2026年4月、ランサムウェア集団「BlackCat／ALPHV」に協力したとして、米フロリダ州在住のアンジェロ・マルティノ被告（41歳）が有罪を認めたと発表した。同被告は2023年当時、ランサムウェアの復旧対応や攻撃者との交渉支援、身代金支払いの実務支援を提供する「DigitalMint」に勤務していた。この事件で、企業が注目すべきポイントは。

外部委託先からの情報流出にどう備える？

併せて読みたいお薦め記事

サイバー攻撃の関連記事

• アサヒグループも襲ったQilinの手口とは　2025年国内被害22件に
• サイバー攻撃の“今これが大事”と取るべき対策は？　「22秒で攻撃準備」という現実

　問題は、同被告がランサムウェア交渉人として勤務していたことだ。同氏は、業務上得た「被害企業側の情報」を攻撃者に流していた。裁判資料によると、同被告は顧客企業の交渉方針や支払い可能性などの機密情報をBlackCat側に提供していた。これにより攻撃者は、被害企業に対してより高額な身代金を要求できるようになったという。

　さらに同被告は、他の2人と共謀し、2023年4月から11月にかけて米国内の複数企業に対するBlackCatランサムウェア攻撃にも関与したことを認めている。DOJによると、3人はいずれもサイバーセキュリティ業界で働いており、その知識やスキルを悪用していた。

　実際、3人はある被害企業から約120万ドル相当の暗号資産（仮想通貨）「ビットコイン」を脅し取り、その利益を分配していたという。

「交渉支援」そのものが新たなリスクになる

　この事件が示すのは、ランサムウェア対策における「支援企業リスク」だ。

　近年、企業はランサムウェア被害に遭うと、外部のインシデント対応企業や交渉代行業者を活用するケースが増えつつある。だが、その過程では、被害範囲や財務状況、業務継続への影響、支払い余力といった極めて機微な情報を第三者と共有する必要がある。

　もしその情報が攻撃者側に流出すれば、攻撃者は「どこまで強く要求すれば支払うか」を把握できる。つまり、交渉そのものが攻撃者に有利な情報収集の場になり得る。

　特にBlackCatは、医療機関やヘルスケア関連企業への攻撃で知られるランサムウェア集団だ。2024年には大手医療ITベンダーChange Healthcareへの大規模攻撃への関与を主張した他、医療製品流通企業のHenry ScheinやLehigh Valley Health Networkなどへの攻撃にも関与したとされる。

　つまり今回の事件は、単なる「不正を働いた従業員」の問題ではない。ランサムウェア対応を外部委託する企業にとって、「誰にどこまで情報を渡すのか」「委託先をどう監査するのか」という新たなガバナンス課題を突き付けている。

「攻撃者」と「防御側」の境界が崩れる

　今回さらに注目すべきなのは、加担した人物たちがいずれもサイバーセキュリティ業界の関係者だった点だ。

　攻撃手法の高度化が進む中で、攻撃者は防御側の運用やインシデント対応プロセスを深く理解している。だが今回は、防御側そのものが攻撃に利用された。

　これは、ゼロトラストやサプライチェーンリスク管理を進める企業にとっても重い示唆を持つ。外部ベンダーや委託先を「信頼済み」と見なす前提そのものが揺らいでいるからだ。

　DOJは近年、BlackCat壊滅に向けた取り締まりを強化している。2023年には同組織の活動を妨害し、500以上の被害組織向けに復号ツールを提供したことで、推定9900万ドルの身代金支払いを防いだとしている。

　だが今回の事件は、ランサムウェア対策が単なる技術防御では完結しないことを改めて示した。今後は、委託先を含めた「内部者リスク」をどう管理するかが、企業のセキュリティ戦略における重要テーマになりそうだ。