ロシアが「犯罪者」を「国家資産」に変える日—LeakBase管理者逮捕が示す、イラン戦争下の新たなサイバー戦略

ロシアが「犯罪者」を「国家資産」に変える日

——LeakBase管理者逮捕が示す、イラン戦争下の新たなサイバー戦略

From Tolerance to Conscription: Russia’s Weaponization of Cybercrime in the Age of the Iran War

－Lessons from the Arrest of the LeakBase Administrator

2026年3月31日

発行元: 一般財団法人日本危機管理研究所

執筆者: 舩山美保

【本稿の位置づけ】

本稿は、2026年3月26日のLeakBase管理者「Chucky」逮捕を起点として、ロシアによるサイバー犯罪インフラの国家転用戦略と、イラン戦争（2026年2月28日〜）が西側サイバー安全保障に与える構造的影響を分析するものである。逮捕から5日が経過した現時点において、「LeakBase閉鎖・イラン戦争・ロシアの国家接収戦略」を結びつけた体系的な政策分析は、英語圏を含め公開されていない。本稿はこの空白を埋めることを目的とし、政策立案者・安全保障関係者・報道関係者による政策判断の参考資料として提供する。核心的主張は公開情報に基づく政策推論であり、確定した事実と推論を明示的に区別している。

■ キーワード/ Keywords LeakBase　— 世界最大級のサイバー犯罪フォーラム（2021年設立、2026年閉鎖） Chucky　— LeakBase管理者。本名未公表、タガンログ在住33歳 サイバー犯罪の国家転用　— 民間ハッカーを国家サイバー戦力へ組み込む手法 Handala（ハンダラ）　— イランMOIS支援とされるハクティビスト集団。FBI長官メール侵害・Stryker攻撃を主張 Operation Epic Fury　— 2026年2月28日開始の米・イスラエルによるイランへの共同軍事作戦 否認可能性　— 国家が直接関与を否定できる形でサイバー攻撃を実施する戦略概念 三国間戦略協定　— 2026年1月29日締結。諜報・サイバー協力を含む Operation Leak　— FBIと14カ国によるLeakBase閉鎖国際摘発作戦（2026年3月） ラテラルムーブメント　— 侵入後、組織内ネットワークを横断して権限を拡大する攻撃手法 APT（高度持続的脅威）　— 国家支援を受けた高度・持続的サイバー攻撃グループ

■背景（Geopolitical Background）

2026年3月26日、ロシア内務省（MVD）は一人のサイバー犯罪者を逮捕した。南部タガンログ在住、33歳。ハンドルネーム「Chucky」——世界最大規模のサイバー犯罪フォーラム「LeakBase」の管理者である。このフォーラムは2021年の設立以来、数億件にのぼるユーザー名・パスワード・銀行口座・クレジットカード情報を闇市場に流通させ、14万人以上の犯罪者に利用されてきた。

なぜ、ロシアは自ら取り締まったのか。

この問いに答えるためには、2026年2月28日に始まったイランとの戦争、そしてロシアが長年維持してきたサイバー犯罪者との「暗黙の契約」を理解する必要がある。

１　「保護」の論理——なぜロシアは犯罪者を黙認してきたのか

ロシアのサイバー犯罪者には、長年にわたり一つの不文律があった。「ロシア国内のデータを標的にしない限り、当局は動かない」——いわゆる「安全地帯」の条件だ。LeakBaseもこのルールを忠実に守り、ロシア国内のデータを一切取り扱わないことを明文化していた。

この黙認体制はロシアにとって合理的だった。自国のハッカーを野放しにすることで、西側諸国のインフラや企業への攻撃能力を間接的に保持できる。必要なときには「民間ハッカー」として活用し、国家の関与を否定できる。国家とアンダーグラウンドの巧妙な共存関係である。

２　契約の終焉——「自由な犯罪者」より「管理された兵器」へ

しかし今回、Chuckyはその不文律を守っていたにもかかわらず逮捕された。これは単なる法執行ではない。ロシアが意図的にルールを破った、明確な戦略的シグナルである。

背景にあるのはイラン戦争の勃発だ。2026年2月28日、米国とイスラエルは「オペレーション・エピック・フューリー」および「オペレーション・ロアリング・ライオン」と呼ばれる共同軍事作戦を発動し、イランの最高指導者ハメネイ師らが死亡。中東の地政学は一変した。ロシアはイランを支援する立場を明確にし、サイバー領域での対米・対イスラエル工作を急速に強化している。

この文脈において、Chuckyが保有するデータの価値は計り知れない。LeakBaseには西側の政府機関・軍関係者・金融機関・重要インフラ企業の認証情報が大量に蓄積されている。「自由に動く犯罪者」として放置するより、「国家が管理する兵器」として接収する方が、はるかに戦略的価値が高い——ロシアはそう判断したとみられる。

【以下、接収意図に関する記述は筆者が公開情報に基づいた推論であり、確定した事実ではない】

【LeakBaseデータの軍事・情報戦への転用可能性】 ● 政府・軍関係者のパスワード → 標的システムへの侵入口 ● 銀行・金融情報 → 制裁回避・非公式資金調達 ● 企業ネットワーク情報 → 重要インフラへの足がかり ● 大量の個人情報 → スパイ勧誘・ハニートラップへの活用

３　露・イラン・中国の「三角形」——サイバー協力の深化

ロシア単独の話ではない。2026年1月29日、ロシア・イラン・中国の三国間戦略協定が締結されており、その内容には諜報協力とサイバー協力が含まれる。この枠組みの中で、LeakBaseのデータはイランのハッカー集団「Handala」をはじめとする親イラン系グループにも共有される可能性がある（推論）。

Handalaはすでにこの戦争で存在感を示している。FBI長官カシュ・パテル氏の個人Gmailアカウントへの侵入、医療機器大手Strykerへの破壊的攻撃（米国史上最大規模の戦時サイバー攻撃とも評される）——いずれも西側の心理に揺さぶりをかける非対称戦術の一環とみられる。LeakBaseの認証情報は、こうした攻撃の侵入経路として機能しうる。

また、ロシアはすでに米軍の位置情報・艦船・航空機の動向をイランに提供しているとされる。サイバー領域においても同様の情報共有が進めば、西側の防衛コストは急激に上昇する。

４　「逮捕」という外交的偽装

見逃せないのは、この逮捕がFBIと14カ国によるLeakBaseへの国際的摘発作戦の直後に行われた点だ。Europol報道官は「ロシア当局との協力はなく、今回の逮捕には関与していない」と明言している。

つまりロシアは、国際社会と「協力した」ように見せかけながら、実際にはChuckyを西側に引き渡す意図は全くない。彼はロシア国外への渡航歴がなく、引き渡し条約もない。ロシアは彼を事実上の「保護拘禁」下に置き、国家のサイバー工作へ組み込む可能性が極めて高い。

これはロシアが以前にも繰り返してきたパターンだ。「犯罪者を逮捕した」という事実で国際社会の批判をかわしつつ、その能力を国家が吸収する。法執行のふりをした、静かな徴兵——それが今回の逮捕の本質であると推論される。

５　日本および民主主義諸国への示唆

今回の事態は、日本を含む民主主義諸国にとって三つの重要な教訓を含んでいる。

●   LeakBaseに流出した認証情報には、日本の企業・機関のものが含まれている可能性がある。政府機関・重要インフラ事業者は、自組織の認証情報が闇市場に流通していないか早急に確認すべきである。

●   ロシアのサイバー脅威の性質が変化している。「犯罪者」と「国家工作員」の境界はもはや存在しない。従来の「サイバー犯罪対応」の枠組みでは対処が困難になりつつあり、安全保障の文脈での対応が必要である。

●   イラン戦争はサイバー空間において「第二戦線」を形成している。中東の軍事的緊張は、日本のサイバー空間にも直接波及しうる。同盟国・友好国との情報共有体制の強化と、国家主導型サイバー脅威への備えが急務である。

「Chucky」の逮捕は、一人のサイバー犯罪者の身柄拘束ではない。ロシアが戦時下において、かつての「黙認」を「接収」へと転換した歴史的な転換点を示している。民主主義諸国の政策立案者・安全保障関係者は、この構造変化を真剣に受け止め、サイバー防衛戦略の根本的な見直しを急ぐべきである。

参考資料 / References

[1]  Russian police arrested the administrator of LeakBase cybercrime forum  /  TechCrunch  (2026年3月27日)  https://techcrunch.com  ※ 逮捕の一次報道。MVD声明・Europol非関与の確認

[2]  LeakBase administrator arrested in Russia following FBI, international law enforcement operation  /  BleepingComputer  (2026年3月27日)  https://www.bleepingcomputer.com      ※ Operation Leakの詳細、45人・100件以上の法執行措置

[3]  Chucky, the operator of the cybercrime marketplace LeakBase, was identified by researchers  /  KELA / TriTrace Threat Intelligence  (2026年3月)  https://www.kelacyber.com  ※ 容疑者の身元特定（タガンログ在住33歳）に関する脅威インテリジェンスレポート

[4]  FBI Director Kash Patel personal Gmail hacked by Iranian group Handala  /  CNN / The Hacker News  (2026年3月)  https://thehackernews.com  ※ HandalaによるFBIパテル長官メール侵害の報道。Check Point分析含む

[5]  Cyberattacks surge 245% since Iran war began, Akamai reports  /  Akamai Technologies Security Report  (2026年3月)  https://www.akamai.com/blog/security  ※ 開戦後のサイバー攻撃245%増加。金融・医療セクターへの集中

[6]  Handala claims destructive attack on Stryker  /  BleepingComputer / SecurityWeek  (2026年3月)  https://www.bleepingcomputer.com  ※ Strykerへの破壊的攻撃の詳細。世界150百万人の患者に影響

[7]  Russia-Iran-China sign trilateral strategic agreement  /  The Washington Post / Reuters  (2026年1月29日)  https://www.washingtonpost.com  ※ 三国間協定の締結。諜報・サイバー協力の制度化

[8]  Russia is sharing military intelligence with Iran to help target US forces  /  The Washington Post  (2026年2〜3月)  https://www.washingtonpost.com  ※ ロシアによるイランへの米軍位置情報・艦船動向の提供

[9]  U.S., Israel launch joint military operation against Iran  /  Associated Press / The New York Times  (2026年2月28日)  https://apnews.com      ※ Operation Epic Fury / Roaring Lionの開始。ハメネイ師死亡の報道

[10]  Russian and Iranian hackers form loose coalition under #OpIsrael  /  Check Point Research  (2026年3月)  https://research.checkpoint.com  ※ 露・イランハッカー連合によるイスラエル・西側防衛企業への協調攻撃の詳細分析