彼は裁かれた。それでも自由かもしれない。

――イタリア、ロシア、アメリカ、三つの事件は、ひとつの戦争だった

He Was Convicted. Yet He May Still Be Free

――Italy, Russia, America — Three Incidents, One War

2026年4月19日

発行元:一般財団法人 日本危機管理研究所

執筆者:舩山 美保

*英訳版は日本語版の後に掲載しています。/ The English translation follows the Japanese text below.

目次

◆ 本稿のねらい ――三か月に集中した、同じ構造

◆ 要旨 ――司法が終わった後、何が始まるか

第一章 ――イタリアの法廷で何が起きたか

第二章 ――アメリカが「法の旗」を使った日

第三章 ――ロシアは逮捕の前に動く

第四章 ――三つの事件を貫く一本の論理

◆ まとめ ――司法のあとにくるもの

◆ 参考資料

◆ 用語集 ――本稿を読むための言葉

◆ 本稿のねらい ――三か月に集中した、同じ構造

本稿が取り上げる三つの事件は、いずれも2026年2月から4月、イラン戦争開戦前後の三か月に集中している。偶然ではない。

イタリアの最高裁が判決を下した。「中国人ハッカーを米国へ引き渡せ」、と。司法は正しく機能した。しかし彼はまだ、自由に近い状態にある。なぜか。

この問いを入口に、本稿は過去三か月間に三つの異なる国で起きた「同じ構造」を照合する。イタリア、アメリカ、ロシア——それぞれの文脈で、司法手続きが完了した後に「別の論理」が作動した。その論理の正体を追ううちに、三つの事件は別々の話ではなくなった。そして日本はこの構造の外側にいない。本財団の既報三件の一次資料分析と接続しながら論証する。

◆ 要旨 ――司法が終わった後、何が始まるか

2026年4月、イタリア最高裁が中国人ハッカー・徐沢偉の米国引き渡しを確定した。司法手続きは完結した。しかし執行は今、メローニ政権の政治判断にかかっている。外相タジャーニが北京を訪問中のこの瞬間、ローマは米中どちらへ傾くかを問われている。

・ 2026年3月、INTERPOLが72か国参加の国際サイバー犯罪摘発を発表した。しかしこの作戦は、米・イスラエルによる対イラン統合軍事作戦の開始からわずか2週間後に発表された。【後述・第二章に出典明示】国際協調の外皮の下に、対イラン包囲網という単独の地政学的戦略があった可能性が高い

・ 同じ月、ロシアは世界最大級のサイバー犯罪フォーラム「LeakBase」の管理者を逮捕した。これは法執行ではない可能性が高い。西側の認証情報を国家のサイバー工作へ組み込むための、静かな徴兵であったと本稿は論じる。

この構造の中で、日本はどう備えるか三つの事件を貫く論理は、すでに日本の外側にない。本稿の末尾で制度的な選択肢を提示する。

三つに共通する論理:司法手続きの完了は、釈放の条件ではなく、交渉の開始点である。「犯罪者を裁く」という行為は、地政学的取り引きの手段として機能してきた。そして今回、イラン戦前後三か月間に起きた三つの事件は、並列ではない。封じる動きと流す動きが同時に走る、同一の情報戦の断面である。この構造の中で日本は受け身である必要はない

第一章 ――イタリアの法廷で何が起きたか

2025年7月3日朝、ミラノ・マルペンサ空港。イタリア警察は一人の中国人男性を逮捕した。徐沢偉、33歳。妻と「休暇のため」入国したところであった。

逮捕状は2023年11月、テキサス州南部連邦地裁が発行したものである。FBIの捜査によれば、徐は2020年、新型コロナウイルスのワクチンと治療法に関する機密情報を狙ったハッカーチームの一員であったとされる。容疑はコンピュータ不正アクセス、通信詐欺、身元詐称——最大で懲役20年に相当する。

徐本人は一貫して否定した。「自分のアカウントが何者かに乗っ取られた可能性がある」と法廷で述べた。

しかし司法の判断は明確であった。ミラノ控訴院は2026年1月、米国側の訴追内容は正当であり、弁護側が主張した「政治的犯罪」には該当しないと判断した。2026年4月、破毀院がこれを確定し、司法手続きは完結した

ところが、ここで手続きは止まった。

破毀院の判断が下りた瞬間から、問題は司法の領域を離れた。引き渡すかどうかは今や、メローニ首相とノルディオ法務大臣の政治的判断にかかっている。そしてこの決定は、外相タジャーニが中国を訪問中の、まさにその瞬間に下されることになった。

この「タイミング」は偶然ではない。

ローマが直面している構図はこうである。徐を引き渡せば、北京に対して「ここではワシントンの優先事項が支配する」というメッセージになる。引き渡しを拒否すれば、あるいは再び「逃亡」が起きれば、最も重要な同盟国からの信頼を失う。

「再び」という言葉には前例がある。2023年3月、ロシアの新興財閥に近い実業家アルテム・ウスが、破毀院の審理中に自宅軟禁から脱走した。この事件はノルディオ法務大臣による関係判事への懲戒処分を招き(後に無罪)、イタリアの司法と政治の間に深い亀裂を残した。

徐沢偉事件は、その亀裂の上で進行している。

しかしここで立ち止まる必要がある。アメリカは本当に、徐を「裁くために」求めているのか。

FBIの訴追内容はコンピュータ不正アクセスと通信詐欺である。しかし徐が関与したとされるハッキングの標的は、ワクチンと治療法に関する機密情報であった。彼が保有している可能性があるのは、中国の国家的サイバー作戦の手口と、関与した組織の構造に関する情報である。法廷での懲役判決はその情報を引き出す手段にはなりえない。しかし身柄の確保は、司法取引という別の交渉を可能にする。

つまり、米国が求めているのは「徐を罰すること」ではなく、「徐が知っていること」である可能性が高い。この視点に立てば、ローマが迫られている決断は、法的義務の履行ではなく、米中どちらの情報戦略に与するかという選択に他ならない。この構造が持つ意味については、第四章で改めて論じる。

第二章 ――アメリカが「法の旗」を使った日

2026年3月14日、INTERPOLは「Operation Synergia III」の成果を発表した。72か国が参加し、45,000以上の悪意あるIPアドレスを無効化、94名を逮捕——数字は確かに印象的であった。【INTERPOL公式発表、2026年3月14日】

しかし発表には奇妙なタイミングがあった。

米・イスラエルによる対イラン統合軍事作戦は、複数の安全保障メディア(The Times of IsraelAl-Monitor等)が2026年2月末の開始と報じており、本財団もその時期を軸に分析を行っている【7】。INTERPOLの発表はその、わずか2週間後であった。しかも国際犯罪会議ウィーン・サミットの閣僚会合の前日という、外交的演出として典型的な日程であった。

これが偶然である可能性は低い。本財団の分析が示した「現代戦争の四層構造」を参照すれば、この作戦の位置づけが見えてくる【7】。軍事、サイバー、金融、そして犯罪追跡——INTERPOLの作戦は第四層として機能した可能性が高いイランの外貨獲得手段であるランサムウェア収益と仮想通貨マネーロンダリングを封鎖する、対イラン包囲網の一部であったと本稿は推定する。

「誰がINTERPOLを動かすか」は、「誰がINTERPOLに金を出すか」と切り離せない——これは構造的な推論であり、個々の決定への直接的な証拠があるわけではない。しかし資金拠出と人事の相関は、国際機関の研究において広く論じられてきた問題である。

INTERPOLの資金構造 INTERPOLの年次財務報告書(INTERPOL Financial Report 2022)によれば、米国は最大の義務的拠出国として年間約1,600万ユーロを拠出している。また、UAEによる多額の任意拠出については、Reuters(2017年)およびThe Guardian(2021年)が報じており、5年間で約5,000万ユーロ規模に達するとされる。その後の2021年、UAE内務省高官がINTERPOL総裁に選出されたことは確認された事実である【INTERPOL総会議事録、2021年】。

国際協調の外皮の下で、地政学的利益が作戦の方向性を決めた可能性が高い。「誰を裁くか」は「誰が邪魔か」によって決まる——これがアメリカ型の構造である、と本稿は論じる。

第三章 ――ロシアは逮捕の前に動く

イタリアとアメリカの事例が「逮捕後の政治介入」だとすれば、ロシアの戦略はさらに一歩先を行く逮捕される前に、国家が先に動く

2026年3月26日、ロシア内務省は一人のサイバー犯罪者を逮捕した。南部タガンログ在住、33歳。ハンドルネーム「Chucky」——世界最大規模のサイバー犯罪フォーラム「LeakBase」の管理者である。【TechCrunch / BleepingComputer報道、2026年3月27日】

なぜロシアは、自ら取り締まったのか。

LeakBaseにはロシアの不文律があった。「ロシア国内のデータを標的にしない限り、当局は動かない」——いわゆる安全地帯の条件である。ChuckyはこのルールP守り続けていた。にもかかわらず逮捕された。

本財団の分析が論じるように、これは法執行ではない可能性が高い。戦略的シグナルである【8】。

LeakBaseには西側の政府機関・軍関係者・金融機関・重要インフラ企業の認証情報が大量に蓄積されていた。「自由に動く犯罪者」として放置するより、「国家が管理する兵器として接収する方が、イラン戦争下のロシアにははるかに価値が高い——そう判断したとみられる。

EUROPOLの報道官は「ロシア当局との協力はなく、今回の逮捕には関与していない」と明言した【5】。ロシアは国際社会と「協力した」ように見せかけながら、実際にはChuckyを西側に引き渡す意図はおそらく全くない。彼はロシア国外への渡航歴がなく、引き渡し条約もない。

法執行のふりをした、静かな徴兵——これがロシア型の構造である、と本稿は論じる。

なお、この構造の先行事例として、FBIが最重要指名手配リストに今も掲載し続けるエフゲニー・ボガチョフがいる。Zeusウイルスの開発者として数億ドル規模の金融詐欺に関与した疑いで起訴されているが、ロシア国内に留まり続けている。米国務省は身柄に300万ドルの懸賞金をかけたが、引き渡されていない【6】。彼はロシアにとって、逮捕すべき犯罪者ではなく、保護すべき資産である——これは推論ではなく、行動の結果として示されている事実である。

ここで見落とされがちな経路がある。

LeakBaseに蓄積された認証情報は、ロシアの手に渡ったとみられる。世界最大級のフォーラムが長年収集した認証情報には、米国の政府機関、イスラエルの軍関係者、NATOのインフラ管理者のものが含まれていた可能性が高い

ロシアはその情報を、自国のサイバー工作だけに使うとは限らない

イラン戦争が始まった今、ロシアとイランの間には情報共有の戦略的誘因がある。米・イスラエルの認証情報がロシア経由でイランに流れる経路は、構造的にありうる。Operation Synergia IIIが対イラン包囲網の一部であったとすれば、その包囲網が封じようとしている情報の一部は、すでにLeakBase経由で流出していた可能性がある。

アメリカはイランの資金源を封鎖しようとした。しかし封鎖が完成する前に、情報はすでに動いていたとみられる。

三つの事件は並列ではない。同一の情報戦の、異なる断面である。

第四章 ――三つの事件を貫く一本の論理

4-1 封じる動きと流す動きが、同時に走っていた

三つの事件は表面上は別々に見える。イタリアの法廷、INTERPOLの国際作戦、ロシアの国内逮捕——舞台も主体も異なる。しかし情報の流れを追うと、三つは同一の情報戦の異なる断面として収斂する。

アメリカは徐沢偉の身柄を通じて、中国のサイバー作戦情報へのアクセスを求めた。INTERPOLを動かしてイランの資金源と情報流通を封鎖しようとした。しかしその封鎖が完成する前に、LeakBaseはロシアに接収され、米・イスラエルの認証情報がイランへ流れる経路が構造的に成立した可能性がある。

封じる動きと、流す動きが、同時に走っていた。

三つに共通するのは「法的手続きの完了が、結果を決めていない」という事実である。しかしより正確に言えば、法的手続きは最初から結果を決めるために設計されていなかった可能性が高い。それぞれの国家にとって、司法は目的ではなく手段であった。裁くためではなく、獲得するため、封鎖するため、徴兵するために、法の形式が使われた——これが本稿の中心的な論点である。

従来の国際法の想定はこうであった。条約がある、手続きがある、判断が下りる、執行される。しかし現実には「執行」の段階で常に別の論理が割り込む。その論理の名前は、外交的配慮、戦略的利益、情報資産の保全——いずれも法律の教科書には載っていない言葉である。

サイバー犯罪者の処遇は、法廷ではなく交渉テーブルで決まる。彼らは「裁く対象」から「獲得する資産」へ、あるいは「交換する駒」へと変質した。

これは法の失敗ではない。法が想定していなかった現実が、法の外側で作動しているということである。そしてこの構造は、一度確立されると自己強化する。「司法手続きを経ても引き渡されない」という実績が積み重なるほど、次の交渉における法の重みは軽くなる。

この構造は、人質交渉と本質的に同型である。

人質外交において、身柄の拘束は目的ではない。交渉における手札の確保が目的である。そして技術者や科学者が標的になる場合、その構造は今回と完全に重なる。冷戦期に米ソがドイツ人科学者を争奪したように、身柄の背後にある知識と技術こそが本当の獲得目標であった。サイバー犯罪者の処遇も、その延長線上にあると本稿は論じる。

ただし、今回が示す新しさは対象の稀少性にはない。平時と有事の境界が消えた領域で、国家の訓練も組織も持たない民間の犯罪者が、国家級の兵器に相当するアクセス権と情報を保有するに至った——その規模と速度にある。かつて「技術者の争奪」は限られた専門家をめぐる話であった。今や対象は、フォーラムに潜む匿名の個人にまで広がっている。

Julian Assangeの事例はその過渡期として読める。彼の身柄をめぐる十年越しの交渉は、司法手続きが外交取引の包装紙として機能した典型であった。最終的な釈放は「司法が決めた」のではなく「交渉が決着した」ことを意味した。サイバー犯罪者の処遇が向かっているのは、その延長線上にある世界である。

4-2 この構造の中の日本

この構造は、すでに日本の外側にない。

第一は要求される側としての日本である。同盟国が逮捕したサイバー犯罪者の引き渡しや、捜査協力を政治的文脈で求められる場面は、構造的にありうる。その時、日本の司法と外交のどちらが先に動くかは、まだ制度的に整理されていない。

第二は標的にされる側としての日本である。LeakBaseに蓄積された認証情報の中に、日本の政府機関・重要インフラ・防衛関連企業のものが含まれていた可能性は排除できない。国家に接収されたデータベースは、いつ、どの文脈で使われるかわからない。

第三は最も見落とされがちな経路である日本国内にも、国家級の情報を保有する民間のサイバー人材はいる。彼らが「獲得目標」として外国の視野に入った時、日本にはその事実を知る手段も、保護する制度も、現状では十分ではない

第四は能動的プレイヤーとしての日本である。在留外国人管理に点数制を導入し、サイバー犯罪・SNS上の工作活動・不正アクセスへの関与を減点事由として明記することで、日本は二つの能力を同時に獲得できる。一つは、国内のサイバー脅威の早期把握。もう一つは、強制送還という外交カードの制度的裏付けである。

送還費用は出身国大使館が負担する。身柄は交渉の手札になる。スパイ交換を含む外交取引への転用も、制度が整えば構造的に可能になる。

イタリアがローマの法廷で迷っている間、日本が制度を整えれば、同じ交渉テーブルに着く資格が生まれる。受け身の標的から、能動的なプレイヤーへの転換——それは法の外側の話ではなく、法制度の設計次第で実現できる【9】。

◆ まとめ ――司法のあとにくるもの

徐沢偉がアメリカに引き渡されるかどうかは、本稿執筆時点でまだ決まっていない。

仮に引き渡されたとして、それは「法が機能した」ことを意味するのか。それとも「米国の外交圧力が勝った」ことを意味するのか。この二つは似て非なる命題である。

司法が終わった後に始まる交渉に、日本は備えているだろうか。

◆ 参考資料

I. 司法・引き渡し手続き

[1] 破毀院判決、徐沢偉事件、2026年4月(Il Foglio報道)

[2] 米連邦地裁逮捕状、テキサス州南部地区、2023年11月2日

II. 国際捜査・サイバー犯罪

[3] INTERPOL公式発表「Operation Synergia III」2026年3月14日

[4] TechCrunch / BleepingComputer:LeakBase管理者逮捕報道、2026年3月27日

[5] EUROPOL報道官声明、2026年3月

[6] FBI Most Wanted:Evgeniy Bogachev(公式ページ)

III. INTERPOLの資金構造・人事【追加】

[3-A] INTERPOL Financial Report 2022(INTERPOL公式)——米国拠出額の根拠

[3-B] Reuters, “UAE donates $50 million to Interpol foundation,” 2017年——UAE拠出の根拠

[3-C] The Guardian, “Interpol elects UAE official as president amid human rights concerns,” 2021年——UAE総裁選出の根拠

IV. 対イラン軍事作戦【追加】

[1-A] The Times of Israel, “Israel and US launch joint operation targeting Iran,” 2026年2月末——作戦開始時期の根拠

[1-B] Al-Monitor, “Epic Fury: The joint US-Israel military campaign explained,” 2026年3月——作戦の概要報道

V. 本財団既報

[7] 舩山美保「サイバー犯罪国際捜査の裏側」一般財団法人日本危機管理研究所、2026年3月18日 https://inst-ds.org/news/624/

[8] 舩山美保「ロシアが『犯罪者』を『国家資産』に変える日」一般財団法人日本危機管理研究所、2026年3月31日 https://inst-ds.org/cyber-security/796/

VI. 関連提言

[9] 岩本拓也(弁護士)・木下顕伸(中東アジア情報戦略研究所 所長)「移民・難民問題解決法はこれだ」YouTube、2026年 https://youtu.be/wQszQRQcaAg?si=xLJIe7zDW-Kie3AN

 ◆ 用語集 ――本稿を読むための言葉

引き渡し条約(Extradition Treaty)

二国間で締結される条約。一方の国で逮捕・訴追された人物を、相手国に引き渡す義務を定める。条約がない国同士では、法的義務は生じない。ロシアが西側諸国とこの条約を結んでいないことが、本稿の事例において決定的な意味を持つ。

国家転用(State Conscription)

民間のサイバー犯罪者を、国家のサイバー工作へ組み込む手法。逮捕・保護拘禁を通じて、その技術・情報・ネットワークを国家が接収する。

否認可能性(Plausible Deniability)

国家がサイバー攻撃への関与を否定できる状態を維持する設計。犯罪者個人を前面に立てることで、国家の直接関与を曖昧にする。

破毀院(Corte di Cassazione)

イタリアの最高裁判所。引き渡し手続きにおける司法上の最終判断機関。ただし実際の執行は行政(政府)が行う。

マルチドメイン作戦(MDO)

軍事・サイバー・宇宙・金融・犯罪追跡を統合した現代型戦争の様式。個別の作戦が独立して見えても、上位の戦略目標に収斂している。

Operation Synergia III(オペレーション・シナジア III)

INTERPOLが主導する国際サイバー犯罪摘発作戦の第三弾。2026年3月14日に発表。72か国が参加し、45,000以上の悪意あるIPアドレスを無効化、94名を逮捕した。数字の規模は印象的であるが、本稿が論じるように、その発表タイミングは米・イスラエルによる対イラン軍事作戦開始のわずか2週間後であり、単独の地政学的戦略との連動が疑われる。

LeakBase

世界最大級のサイバー犯罪フォーラムの一つ。政府機関・軍関係者・金融機関・重要インフラ企業を含む大量の認証情報が売買・蓄積されていた。2026年3月、ロシア内務省が管理者を逮捕し、事実上国家の管理下に入ったとみられる。その蓄積情報がロシアのサイバー工作、さらにイランへの情報提供に転用される可能性が、本稿の核心的論点の一つである。

舩山 美保 一般財団法人 日本危機管理研究所 理事/主任研究員
上智大学卒業(国際政治学)、青山学院大学大学院修了(国際政治経済学・哲学・心理学)。
キヤノン株式会社にて国際標準・新技術の特許調査・分析業務を担当。ISO/IEC JTC1 SC28(オフィス機器)副国際幹事として、国際規格の策定プロセスを主導した実務経験を持つ。標準化交渉の場における多国間調整および技術文書の戦略的分析に従事。中東アジア情報戦略研究所 研究員

研究領域:
言語・行動パターンの体系的分析手法を応用した意思決定構造・行動構造の解析を専門とする。とりわけPSYOP(心理作戦)および情報戦の分析、ならびに危機管理政策の視点からセキュリティインテリジェンスの研究・分析を行っている。国際政治学・心理学・哲学にまたがる学際的バックグラウンドを基盤に、国家・非国家アクターによる認知領域への介入メカニズムの解明に取り組む。

He Was Convicted. Yet He May Still Be Free.

Italy, Russia, America — Three Incidents, One War

The Logic of Information Warfare Running Through Three Incidents: Italian Courts, INTERPOL Operations, and the LeakBase Administrator’s Arrest

Published: April 19, 2026

Publisher: Japan Institute of Crisis Management (一般財団法人 日本危機管理研究所)

Author: Miho Funayama

Table of Contents

◆ Purpose of This Report — The Same Structure, Concentrated in Three Months

◆ Summary — What Begins After the Law Ends

Chapter 1 — What Happened in an Italian Courtroom

Chapter 2 — The Day America Used “the Banner of Law”

Chapter 3 — Russia Moves Before the Arrest

Chapter 4 — The Single Logic Running Through Three Incidents

◆ Conclusion — What Comes After the Law

◆ References

◆ Glossary — Terms for Reading This Report

◆ Purpose of This Report — The Same Structure, Concentrated in Three Months

The three incidents this report addresses all concentrated in a three-month period — from February to April 2026, around the outbreak of the Iran War. This is not coincidence.

Italy’s Supreme Court handed down its ruling: “Extradite the Chinese hacker to the United States.” The judiciary functioned correctly. Yet he remains in a state close to freedom. Why?

Using this question as a starting point, this report cross-references “the same structure” that occurred in three different countries over the past three months. Italy, America, Russia — in each context, a “different logic” came into operation after legal proceedings were concluded. In tracing the identity of that logic, the three incidents ceased to be separate stories. And Japan is not on the outside of this structure. The argument is developed in connection with primary source analysis from three prior reports published by this institute.

◆ Summary — What Begins After the Law Ends

  • In April 2026, Italy’s Supreme Court finalized the extradition of Chinese hacker Xu Zewei to the United States. Legal proceedings were concluded. However, execution now rests on the political judgment of the Meloni government. At the very moment Foreign Minister Tajani is visiting Beijing, Rome is being asked which way it will lean — toward the U.S. or China.
  • In March 2026, INTERPOL announced an international cybercrime crackdown involving 72 countries. However, this operation was announced just two weeks after the launch of the U.S.-Israel joint military operations against Iran. [Source specified later — Chapter 2] It is highly probable that beneath the outer shell of international cooperation lay a single geopolitical strategy: a containment network against Iran.
  • In the same month, Russia arrested the administrator of “LeakBase,” one of the world’s largest cybercrime forums. This report argues that this was likely not law enforcement. It was a quiet conscription — to incorporate Western credentials into state cyber operations.

How should Japan prepare within this structure? The logic running through the three incidents is no longer outside Japan. Institutional options are presented at the conclusion of this report.

The logic common to all three: The completion of legal proceedings is not a condition of release — it is the starting point of negotiation. The act of “judging a criminal” has functioned as a means of geopolitical transaction. And this time, the three incidents that occurred over a three-month period around the Iran War are not parallel. They are cross-sections of the same information warfare — with moves to contain and moves to let flow running simultaneously. Japan need not be passive within this structure.

Chapter 1 — What Happened in an Italian Courtroom

On the morning of July 3, 2025, at Milan Malpensa Airport. Italian police arrested a Chinese man. Xu Zewei, 33 years old. He had entered with his wife “for vacation.”

The arrest warrant had been issued by the federal court for the Southern District of Texas in November 2023. According to FBI investigations, Xu was allegedly a member of a hacker team that targeted classified information on COVID-19 vaccines and treatments in 2020. The charges: unauthorized computer access, wire fraud, and identity fraud — corresponding to a maximum of 20 years in prison.

Xu himself consistently denied the charges. He stated in court that “there is a possibility that someone hijacked my account.”

However, the judicial determination was clear. The Milan Court of Appeals ruled in January 2026 that the U.S. side’s prosecution was legitimate and did not constitute the “political crime” argued by the defense. In April 2026, the Court of Cassation confirmed this ruling, and legal proceedings were concluded.

Yet at this point, the proceedings stopped.

From the moment the Court of Cassation’s ruling was handed down, the problem left the judicial domain. Whether to extradite is now a political judgment for Prime Minister Meloni and Justice Minister Nordio. And this decision was to be made at the very moment Foreign Minister Tajani was visiting China.

This “timing” is not coincidental.

The situation Rome faces is this: if Xu is extradited, it sends a message to Beijing that “Washington’s priorities govern here.” If extradition is refused — or if “escape” occurs again — trust from the most important ally is lost.

The word “again” carries a precedent. In March 2023, Artem Us — a businessman close to Russia’s new oligarchs — escaped from house arrest while under review by the Court of Cassation. This incident led Justice Minister Nordio to impose disciplinary measures on the judge involved (later acquitted), leaving a deep rift between Italy’s judiciary and politics.

The Xu Zewei case is proceeding atop that rift.

But it is necessary to pause here. Does America truly want Xu for the purpose of “judging” him?

The FBI’s charges are unauthorized computer access and wire fraud. However, the targets of the hacking Xu allegedly participated in were classified information on vaccines and treatments. What he may possess is information about the methods of China’s state-level cyber operations and the structure of the organizations involved. A prison sentence in court cannot be the means of extracting that information. But securing his person makes possible a different kind of negotiation — plea bargaining.

In other words, what the United States is seeking is likely not “to punish Xu” but “what Xu knows.” Seen from this perspective, the decision Rome is being pressed to make is not the fulfillment of a legal obligation, but a choice of which side’s information strategy — the U.S. or China — to align with. The significance of this structure is discussed further in Chapter 4.

Chapter 2 — The Day America Used “the Banner of Law”

On March 14, 2026, INTERPOL announced the results of “Operation Synergia III.” 72 countries participated, more than 45,000 malicious IP addresses were neutralized, 94 individuals arrested — the numbers were certainly impressive. [INTERPOL official announcement, March 14, 2026]

However, the announcement had a peculiar timing.

The U.S.-Israel joint military operations against Iran were reported by multiple security media outlets (The Times of Israel, Al-Monitor, etc.) as beginning at the end of February 2026, a timeline around which this institute has also centered its analysis [7]. INTERPOL’s announcement came just two weeks later. Moreover, it came the day before the ministerial meeting of the Vienna Summit on International Crime — a schedule typical of diplomatic orchestration.

The probability of this being coincidental is low. Referring to the “four-layer structure of modern warfare” shown in this institute’s analysis [7], the positioning of this operation becomes clear: military, cyber, financial, and criminal tracking. Operation Synergia III likely functioned as the fourth layersealing off Iran’s ransomware revenues and cryptocurrency money laundering as a means of foreign currency acquisition, as part of a containment network against Iran, this report infers.

“Who moves INTERPOL” cannot be separated from “who funds INTERPOL” — this is a structural inference; there is no direct evidence of influence on individual decisions. However, the correlation between funding contributions and personnel has long been widely discussed in research on international organizations.

INTERPOL’s Funding Structure: According to INTERPOL’s annual financial report (INTERPOL Financial Report 2022), the United States is the largest mandatory contributor, providing approximately 16 million euros annually. Additionally, large voluntary contributions from the UAE have been reported by Reuters (2017) and The Guardian (2021), estimated to amount to approximately 50 million euros over five years. Subsequently in 2021, a senior UAE Interior Ministry official was elected INTERPOL President — a confirmed fact [INTERPOL General Assembly minutes, 2021].

Beneath the outer shell of international cooperation, geopolitical interests likely determined the direction of the operation. “Who is judged” is decided by “who is inconvenient” — this report argues that this is the American-type structure.

Chapter 3 — Russia Moves Before the Arrest

If the Italian and American cases represent “political intervention after arrest,” Russia’s strategy goes one step further. The state moves first, before an arrest occurs.

On March 26, 2026, Russia’s Ministry of Internal Affairs arrested a cybercriminal. A 33-year-old resident of Taganrog in southern Russia. Handle name “Chucky” — the administrator of “LeakBase,” one of the world’s largest cybercrime forums. [TechCrunch / BleepingComputer reporting, March 27, 2026]

Why did Russia crack down on its own?

LeakBase had an unwritten Russian rule: “As long as you don’t target data within Russia, the authorities won’t act” — the conditions of a so-called safe haven. Chucky had continued to observe this rule. Yet he was arrested.

As this institute’s analysis argues, this was likely not law enforcement. It was a strategic signal [8].

LeakBase had accumulated vast quantities of credentials belonging to Western government agencies, military personnel, financial institutions, and critical infrastructure companies. Rather than leaving him to operate freely as a “criminal,” “confiscating him as a state-managed weapon” carries far greater strategic value for Russia under the Iran War — that appears to be the judgment made.

Europol’s spokesperson explicitly stated that “there was no cooperation with Russian authorities; they were not involved in this arrest” [5]. Russia made it appear as if it had “cooperated” with the international community, while in reality it likely has absolutely no intention of extraditing Chucky to the West. He has no record of traveling outside Russia, and no extradition treaty exists.

Law enforcement as a disguise for quiet conscription — this report argues that this is the Russian-type structure.

As a precedent for this structure, there is Evgeny Bogachev, who remains on the FBI’s most wanted list. Indicted on suspicion of involvement in hundreds of millions of dollars in financial fraud as the developer of the Zeus virus, he continues to remain within Russia. The U.S. State Department placed a $3 million bounty on him, but he has not been extradited [6]. For Russia, he is not a criminal to be arrested but an asset to be protected — this is not inference but a fact demonstrated by behavioral outcomes.

Here lies an easily overlooked pathway.

The credentials accumulated in LeakBase are believed to have passed into Russian hands. The credentials collected over years by one of the world’s largest forums likely included those of U.S. government agencies, Israeli military personnel, and NATO infrastructure administrators.

Russia does not necessarily use that information solely for its own cyber operations.

Now that the Iran War has begun, there is a strategic incentive for intelligence sharing between Russia and Iran. A pathway through which U.S. and Israeli credentials flow through Russia to Iran is structurally plausible. If Operation Synergia III was part of a containment network against Iran, some of the information that containment network sought to seal off may have already been flowing out through LeakBase.

America sought to seal off Iran’s funding sources. But before the sealing was complete, the information had already been moving.

The three incidents are not parallel. They are different cross-sections of the same information warfare.

Chapter 4 — The Single Logic Running Through Three Incidents

4-1. Moves to Contain and Moves to Let Flow Were Running Simultaneously

The three incidents appear separate on the surface. An Italian courtroom, an INTERPOL international operation, a Russian domestic arrest — the stages and actors differ. But tracing the flow of information, the three converge as different cross-sections of the same information warfare.

America sought access to China’s cyber operations intelligence through Xu Zewei’s person. It moved INTERPOL to seal off Iran’s funding sources and information distribution. But before that sealing was complete, LeakBase was confiscated by Russia, with the possibility that a pathway through which U.S. and Israeli credentials flow to Iran was structurally established.

Moves to contain and moves to let flow were running simultaneously.

What is common to all three is the fact that “completion of legal proceedings has not determined the outcome.” But more precisely, legal proceedings likely were not designed from the outset to determine outcomes. For each state, the judiciary was not an end but a means. The form of law was used not to judge, but to acquire, to seal off, to conscript — this is the central argument of this report.

The conventional assumption of international law was this: there is a treaty, there are procedures, a judgment is handed down, execution follows. But in reality, a different logic always intervenes at the “execution” stage. The names of that logic are diplomatic considerations, strategic interests, preservation of intelligence assets — words that do not appear in any legal textbook.

The treatment of cybercriminals is decided not in courtrooms but at negotiating tables. They have transformed from “subjects to be judged” into “assets to be acquired” or “pieces to be exchanged.”

This is not the failure of law. It is that a reality law did not anticipate is operating outside the law. And this structure, once established, self-reinforces. The more “not extradited even after legal proceedings” accumulates as precedent, the lighter the weight of law becomes in the next negotiation.

This structure is essentially isomorphic with hostage negotiation.

In hostage diplomacy, the detention of a person is not the objective. The objective is securing a hand in negotiation. And when engineers or scientists become targets, the structure overlaps completely with the present case. Just as the U.S. and USSR competed to acquire German scientists during the Cold War, the knowledge and technology behind the person’s custody were the true acquisition objective. This report argues that the treatment of cybercriminals lies on that continuum.

However, the novelty this case demonstrates does not lie in the scarcity of targets. It lies in the fact that in a domain where the boundary between peacetime and wartime has disappeared, civilian criminals with no state training or organization have come to possess access rights and information equivalent to state-level weapons — in that scale and speed. The “contest for engineers” was once a matter concerning limited specialists. Today the targets have expanded to anonymous individuals lurking in forums.

The Julian Assange case can be read as a transitional period in this process. The decade-long negotiation over his custody was a typical case of legal proceedings functioning as wrapping paper for diplomatic transactions. The final release meant not that “the judiciary decided” but that “the negotiation was settled.” The world that the treatment of cybercriminals is heading toward lies on that continuum.

4-2. Japan Within This Structure

This structure is no longer outside Japan.

First: Japan as the party being demanded of. Situations structurally can arise in which allied nations demand the extradition of cybercriminals they have arrested, or investigative cooperation in a political context. At that point, whether Japan’s judiciary or diplomacy moves first has not yet been institutionally sorted out.

Second: Japan as the party being targeted. It cannot be ruled out that credentials of Japanese government agencies, critical infrastructure, and defense-related companies were included in the credentials accumulated in LeakBase. A database confiscated by a state can be used at any time, in any context.

Third: The most easily overlooked pathway. Within Japan as well, there exist private cyber personnel who hold state-level information. When they enter the field of view of foreign powers as “acquisition targets,” Japan currently lacks sufficient means to know that fact, or the institutional framework to protect them.

Fourth: Japan as an active player. By introducing a points system into resident foreign national management and explicitly specifying involvement in cybercrime, manipulation on social media, and unauthorized access as deduction criteria, Japan can simultaneously acquire two capabilities. One is early identification of domestic cyber threats. The other is the institutional backing of deportation as a diplomatic card.

Deportation costs are borne by the sending country’s embassy. Persons in custody become negotiating cards. Conversion for use in diplomatic transactions including spy exchanges also becomes structurally possible if the institutional framework is in place.

While Italy deliberates in a Roman courtroom, if Japan establishes its institutional framework, the qualification to sit at the same negotiating table emerges. The transition from passive target to active player — that is not a matter outside the law, but something that can be realized depending on the design of legal institutions [9].

◆ Conclusion — What Comes After the Law

Whether Xu Zewei will be extradited to the United States remains undecided at the time of writing this report.

If he is extradited, does that mean “the law functioned”? Or does it mean “American diplomatic pressure prevailed”? These two are propositions that resemble each other but are not the same.

Is Japan prepared for the negotiation that begins after the law ends?

◆ References

I. Judicial and Extradition Proceedings

[1] Court of Cassation ruling, Xu Zewei case, April 2026 (Il Foglio reporting)

[2] Federal court arrest warrant, Southern District of Texas, November 2, 2023

II. International Investigations and Cybercrime

[3] INTERPOL official announcement “Operation Synergia III,” March 14, 2026

[4] TechCrunch / BleepingComputer: LeakBase administrator arrest reporting, March 27, 2026

[5] Europol spokesperson statement, March 2026

[6] FBI Most Wanted: Evgeny Bogachev (official page)

III. INTERPOL’s Funding Structure and Personnel [Additional]

[3-A] INTERPOL Financial Report 2022 (INTERPOL official) — basis for U.S. contribution figures

[3-B] Reuters, “UAE donates $50 million to Interpol foundation,” 2017 — basis for UAE contributions

[3-C] The Guardian, “Interpol elects UAE official as president amid human rights concerns,” 2021 — basis for UAE President election

IV. Military Operations Against Iran [Additional]

[1-A] The Times of Israel, “Israel and US launch joint operation targeting Iran,” late February 2026 — basis for operation start timing

[1-B] Al-Monitor, “Epic Fury: The joint US-Israel military campaign explained,” March 2026 — overview reporting on the operation

V. Prior Reports by This Institute

[7] Miho Funayama, “Inside International Cybercrime Investigations,” Japan Institute of Crisis Management, March 18, 2026. https://inst-ds.org/news/624/

[8] Miho Funayama, “The Day Russia Turns Criminals into State Assets,” Japan Institute of Crisis Management, March 31, 2026. https://inst-ds.org/cyber-security/796/

[9] Takuya Iwamoto (Attorney) and Akinobu Kinoshita (Director, Middle East and Asia Information Strategy Institute), “This Is the Solution to the Immigration and Refugee Problem,” YouTube, 2026. https://youtu.be/wQszQRQcaAg?si=xLJIe7zDW-Kie3AN

◆ Glossary — Terms for Reading This Report

Extradition Treaty A treaty concluded between two countries. It defines the obligation to extradite a person arrested and prosecuted in one country to the other. Where no treaty exists between countries, no legal obligation arises. The fact that Russia has not concluded such a treaty with Western nations carries decisive significance in the cases discussed in this report.

State Conscription A method of incorporating civilian cybercriminals into state cyber operations. Through arrest or protective detention, the state confiscates their skills, information, and networks.

Plausible Deniability A design that maintains a state’s ability to deny involvement in cyberattacks. By putting individual criminals at the forefront, the state’s direct involvement is kept ambiguous.

Court of Cassation (Corte di Cassazione) Italy’s Supreme Court. The final judicial decision-making body in extradition proceedings. However, actual execution is carried out by the administration (government).

Multi-Domain Operations (MDO) The form of modern warfare integrating military, cyber, space, financial, and criminal tracking domains. Even when individual operations appear independent, they converge on a higher-level strategic objective.

Operation Synergia III The third iteration of INTERPOL’s international cybercrime crackdown operation. Announced March 14, 2026. 72 countries participated, more than 45,000 malicious IP addresses were neutralized, and 94 individuals were arrested. While the scale of the numbers is impressive, as this report argues, the timing of the announcement — just two weeks after the launch of U.S.-Israel military operations against Iran — raises suspicion of coordination with a single geopolitical strategy.

LeakBase One of the world’s largest cybercrime forums. Vast quantities of credentials belonging to government agencies, military personnel, financial institutions, and critical infrastructure companies were traded and accumulated there. In March 2026, Russia’s Ministry of Internal Affairs arrested its administrator, and it is believed to have effectively come under state control. The possibility that its accumulated information is diverted for use in Russian cyber operations and further intelligence provision to Iran is one of the central arguments of this report.

Author: Miho Funayama
Director, Japan Institute for Crisis Management / Research Fellow, Middle East Asia Intelligence Strategy Institute
B.A. in International Politics, Sophia University; M.A. in International Political Economy, Philosophy, and Psychology, Aoyama Gakuin University Graduate School.
Served at Canon Inc., specializing in patent research and analysis of international standards and emerging technologies. Held the position of Vice International Secretary of ISO/IEC JTC1 SC28 (Office Equipment), leading the development and coordination of international standards through multilateral negotiation processes.

Research Focus:
Specializes in the structural analysis of decision-making and behavioral patterns through systematic linguistic and behavioral analysis methodologies. Conducts research and analysis in security intelligence from the perspectives of PSYOP (Psychological Operations), information warfare, and crisis management policy. Drawing on an interdisciplinary foundation in international politics, psychology, and philosophy, focuses on elucidating the mechanisms of cognitive domain intervention by state and non-state actors.