ロシアが「犯罪者」を「国家資産」に変える日
——LeakBase管理者逮捕が示す、イラン戦争下の新たなサイバー戦略
The Day Russia Turns Criminals into State Assets
The LeakBase Takedown: What It Reveals About Cyber Warfare in the Iran War Era
2026年3月31日
発行元: 一般財団法人日本危機管理研究所
*英訳版は日本語版の後に掲載しています。/ The English translation follows the Japanese text below.
【本稿の位置づけ】
本稿は、2026年3月26日のLeakBase管理者「Chucky」逮捕を起点として、ロシアによるサイバー犯罪インフラの国家転用戦略と、イラン戦争(2026年2月28日〜)が西側サイバー安全保障に与える構造的影響を分析するものである。逮捕から5日が経過した現時点において、「LeakBase閉鎖・イラン戦争・ロシアの国家接収戦略」を結びつけた体系的な政策分析は、英語圏を含め公開されていない。本稿はこの空白を埋めることを目的とし、政策立案者・安全保障関係者・報道関係者による政策判断の参考資料として提供する。核心的主張は公開情報に基づく政策推論であり、確定した事実と推論を明示的に区別している。
| ■ キーワード/ Keywords LeakBase — 世界最大級のサイバー犯罪フォーラム(2021年設立、2026年閉鎖) Chucky — LeakBase管理者。本名未公表、タガンログ在住33歳 サイバー犯罪の国家転用 — 民間ハッカーを国家サイバー戦力へ組み込む手法 Handala(ハンダラ) — イランMOIS支援とされるハクティビスト集団。FBI長官メール侵害・Stryker攻撃を主張 Operation Epic Fury — 2026年2月28日開始の米・イスラエルによるイランへの共同軍事作戦 否認可能性 — 国家が直接関与を否定できる形でサイバー攻撃を実施する戦略概念 三国間戦略協定 — 2026年1月29日締結。諜報・サイバー協力を含む Operation Leak — FBIと14カ国によるLeakBase閉鎖国際摘発作戦(2026年3月) ラテラルムーブメント — 侵入後、組織内ネットワークを横断して権限を拡大する攻撃手法 APT(高度持続的脅威) — 国家支援を受けた高度・持続的サイバー攻撃グループ |
■背景(Geopolitical Background)
2026年3月26日、ロシア内務省(MVD)は一人のサイバー犯罪者を逮捕した。南部タガンログ在住、33歳。ハンドルネーム「Chucky」——世界最大規模のサイバー犯罪フォーラム「LeakBase」の管理者である。このフォーラムは2021年の設立以来、数億件にのぼるユーザー名・パスワード・銀行口座・クレジットカード情報を闇市場に流通させ、14万人以上の犯罪者に利用されてきた。
なぜ、ロシアは自ら取り締まったのか。
この問いに答えるためには、2026年2月28日に始まったイランとの戦争、そしてロシアが長年維持してきたサイバー犯罪者との「暗黙の契約」を理解する必要がある。
1 「保護」の論理——なぜロシアは犯罪者を黙認してきたのか
ロシアのサイバー犯罪者には、長年にわたり一つの不文律があった。「ロシア国内のデータを標的にしない限り、当局は動かない」——いわゆる「安全地帯」の条件だ。LeakBaseもこのルールを忠実に守り、ロシア国内のデータを一切取り扱わないことを明文化していた。
この黙認体制はロシアにとって合理的だった。自国のハッカーを野放しにすることで、西側諸国のインフラや企業への攻撃能力を間接的に保持できる。必要なときには「民間ハッカー」として活用し、国家の関与を否定できる。国家とアンダーグラウンドの巧妙な共存関係である。
2 契約の終焉——「自由な犯罪者」より「管理された兵器」へ
しかし今回、Chuckyはその不文律を守っていたにもかかわらず逮捕された。これは単なる法執行ではない。ロシアが意図的にルールを破った、明確な戦略的シグナルである。
背景にあるのはイラン戦争の勃発だ。2026年2月28日、米国とイスラエルは「オペレーション・エピック・フューリー」および「オペレーション・ロアリング・ライオン」と呼ばれる共同軍事作戦を発動し、イランの最高指導者ハメネイ師らが死亡。中東の地政学は一変した。ロシアはイランを支援する立場を明確にし、サイバー領域での対米・対イスラエル工作を急速に強化している。
この文脈において、Chuckyが保有するデータの価値は計り知れない。LeakBaseには西側の政府機関・軍関係者・金融機関・重要インフラ企業の認証情報が大量に蓄積されている。「自由に動く犯罪者」として放置するより、「国家が管理する兵器」として接収する方が、はるかに戦略的価値が高い——ロシアはそう判断したとみられる。
【以下、接収意図に関する記述は筆者が公開情報に基づいた推論であり、確定した事実ではない】
| 【LeakBaseデータの軍事・情報戦への転用可能性】 ● 政府・軍関係者のパスワード → 標的システムへの侵入口 ● 銀行・金融情報 → 制裁回避・非公式資金調達 ● 企業ネットワーク情報 → 重要インフラへの足がかり ● 大量の個人情報 → スパイ勧誘・ハニートラップへの活用 |
3 露・イラン・中国の「三角形」——サイバー協力の深化
ロシア単独の話ではない。2026年1月29日、ロシア・イラン・中国の三国間戦略協定が締結されており、その内容には諜報協力とサイバー協力が含まれる。この枠組みの中で、LeakBaseのデータはイランのハッカー集団「Handala」をはじめとする親イラン系グループにも共有される可能性がある(推論)。
Handalaはすでにこの戦争で存在感を示している。FBI長官カシュ・パテル氏の個人Gmailアカウントへの侵入、医療機器大手Strykerへの破壊的攻撃(米国史上最大規模の戦時サイバー攻撃とも評される)——いずれも西側の心理に揺さぶりをかける非対称戦術の一環とみられる。LeakBaseの認証情報は、こうした攻撃の侵入経路として機能しうる。
また、ロシアはすでに米軍の位置情報・艦船・航空機の動向をイランに提供しているとされる。サイバー領域においても同様の情報共有が進めば、西側の防衛コストは急激に上昇する。
4 「逮捕」という外交的偽装
見逃せないのは、この逮捕がFBIと14カ国によるLeakBaseへの国際的摘発作戦の直後に行われた点だ。Europol報道官は「ロシア当局との協力はなく、今回の逮捕には関与していない」と明言している。
つまりロシアは、国際社会と「協力した」ように見せかけながら、実際にはChuckyを西側に引き渡す意図は全くない。彼はロシア国外への渡航歴がなく、引き渡し条約もない。ロシアは彼を事実上の「保護拘禁」下に置き、国家のサイバー工作へ組み込む可能性が極めて高い。
これはロシアが以前にも繰り返してきたパターンだ。「犯罪者を逮捕した」という事実で国際社会の批判をかわしつつ、その能力を国家が吸収する。法執行のふりをした、静かな徴兵——それが今回の逮捕の本質であると推論される。
5 日本および民主主義諸国への示唆
今回の事態は、日本を含む民主主義諸国にとって三つの重要な教訓を含んでいる。
● LeakBaseに流出した認証情報には、日本の企業・機関のものが含まれている可能性がある。政府機関・重要インフラ事業者は、自組織の認証情報が闇市場に流通していないか早急に確認すべきである。
● ロシアのサイバー脅威の性質が変化している。「犯罪者」と「国家工作員」の境界はもはや存在しない。従来の「サイバー犯罪対応」の枠組みでは対処が困難になりつつあり、安全保障の文脈での対応が必要である。
● イラン戦争はサイバー空間において「第二戦線」を形成している。中東の軍事的緊張は、日本のサイバー空間にも直接波及しうる。同盟国・友好国との情報共有体制の強化と、国家主導型サイバー脅威への備えが急務である。
「Chucky」の逮捕は、一人のサイバー犯罪者の身柄拘束ではない。ロシアが戦時下において、かつての「黙認」を「接収」へと転換した歴史的な転換点を示している。民主主義諸国の政策立案者・安全保障関係者は、この構造変化を真剣に受け止め、サイバー防衛戦略の根本的な見直しを急ぐべきである。
参考資料 / References
[1] Russian police arrested the administrator of LeakBase cybercrime forum / TechCrunch (2026年3月27日) https://techcrunch.com ※ 逮捕の一次報道。MVD声明・Europol非関与の確認
[2] LeakBase administrator arrested in Russia following FBI, international law enforcement operation / BleepingComputer (2026年3月27日) https://www.bleepingcomputer.com ※ Operation Leakの詳細、45人・100件以上の法執行措置
[3] Chucky, the operator of the cybercrime marketplace LeakBase, was identified by researchers / KELA / TriTrace Threat Intelligence (2026年3月) https://www.kelacyber.com ※ 容疑者の身元特定(タガンログ在住33歳)に関する脅威インテリジェンスレポート
[4] FBI Director Kash Patel personal Gmail hacked by Iranian group Handala / CNN / The Hacker News (2026年3月) https://thehackernews.com ※ HandalaによるFBIパテル長官メール侵害の報道。Check Point分析含む
[5] Cyberattacks surge 245% since Iran war began, Akamai reports / Akamai Technologies Security Report (2026年3月) https://www.akamai.com/blog/security ※ 開戦後のサイバー攻撃245%増加。金融・医療セクターへの集中
[6] Handala claims destructive attack on Stryker / BleepingComputer / SecurityWeek (2026年3月) https://www.bleepingcomputer.com ※ Strykerへの破壊的攻撃の詳細。世界150百万人の患者に影響
[7] Russia-Iran-China sign trilateral strategic agreement / The Washington Post / Reuters (2026年1月29日) https://www.washingtonpost.com ※ 三国間協定の締結。諜報・サイバー協力の制度化
[8] Russia is sharing military intelligence with Iran to help target US forces / The Washington Post (2026年2〜3月) https://www.washingtonpost.com ※ ロシアによるイランへの米軍位置情報・艦船動向の提供
[9] U.S., Israel launch joint military operation against Iran / Associated Press / The New York Times (2026年2月28日) https://apnews.com ※ Operation Epic Fury / Roaring Lionの開始。ハメネイ師死亡の報道
[10] Russian and Iranian hackers form loose coalition under #OpIsrael / Check Point Research (2026年3月) https://research.checkpoint.com ※ 露・イランハッカー連合によるイスラエル・西側防衛企業への協調攻撃の詳細分析
The Day Russia Turns Criminals into State Assets
The LeakBase Takedown: What It Reveals About Cyber Warfare in the Iran War Era
Published: March 31, 2026
Publisher: Japan Institute of Crisis Management (一般財団法人 日本危機管理研究所)
Author: Miho Funayama
Positioning of This Report
This report takes the arrest of “Chucky” — administrator of LeakBase — on March 26, 2026, as its starting point, analyzing Russia’s strategy of converting cybercrime infrastructure into state assets, and the structural impact of the Iran War (launched February 28, 2026) on Western cybersecurity. Five days after the arrest, no systematic policy analysis connecting “the LeakBase shutdown, the Iran War, and Russia’s state confiscation strategy” has been published anywhere — including in English-language forums. This report aims to fill that gap and is provided as a reference for policy judgments by policymakers, security professionals, and journalists. The core arguments are policy inferences based on open-source information; confirmed facts and inferences are explicitly distinguished throughout.
Keywords
LeakBase — One of the world’s largest cybercrime forums (founded 2021, shut down 2026)
Chucky — LeakBase administrator. Real name undisclosed; 33-year-old resident of Taganrog
State Conversion of Cybercrime — The method of incorporating civilian hackers into national cyber warfare capabilities
Handala — Hacktivist group reportedly backed by Iran’s MOIS. Claims include breaching the FBI Director’s email and the Stryker attack
Operation Epic Fury — Joint U.S.-Israeli military operation against Iran, launched February 28, 2026
Deniability — The strategic concept of conducting cyberattacks in ways that allow the state to deny direct involvement
Trilateral Strategic Agreement — Concluded January 29, 2026. Includes intelligence and cyber cooperation
Operation Leak — International FBI-led operation involving 14 countries to shut down LeakBase (March 2026)
Lateral Movement — Post-intrusion attack technique of traversing an organization’s internal network to expand privileges
APT (Advanced Persistent Threat) — State-sponsored advanced and persistent cyberattack groups
Background (Geopolitical Background)
On March 26, 2026, Russia’s Ministry of Internal Affairs (MVD) arrested a cybercriminal. A 33-year-old resident of Taganrog in southern Russia. Handle name “Chucky” — the administrator of “LeakBase,” one of the world’s largest cybercrime forums. Since its founding in 2021, this forum had circulated hundreds of millions of usernames, passwords, bank account details, and credit card numbers on black markets, serving over 140,000 criminals.
Why did Russia crack down on its own?
To answer this question, it is necessary to understand the war with Iran that began on February 28, 2026, and the “implicit contract” Russia has long maintained with cybercriminals.
1. The Logic of “Protection” — Why Russia Tolerated Criminals
Russian cybercriminals had long operated under a single unwritten rule: “As long as you don’t target data inside Russia, the authorities won’t move” — the so-called conditions of a “safe haven.” LeakBase faithfully observed this rule, explicitly stating it would never handle Russian domestic data.
This tacit tolerance was rational for Russia. By allowing its own hackers to operate freely, Russia could indirectly maintain attack capabilities against Western infrastructure and corporations. When needed, they could be utilized as “civilian hackers” while the state denied involvement. A sophisticated coexistence between the state and the underground.
2. The End of the Contract — From “Free Criminal” to “Managed Weapon”
Yet this time, Chucky was arrested despite having observed that unwritten rule. This is not mere law enforcement. It is a clear strategic signal that Russia has deliberately broken its own rules.
The backdrop is the outbreak of the Iran War. On February 28, 2026, the United States and Israel launched “Operation Epic Fury” and “Operation Roaring Lion” — joint military operations that resulted in the deaths of Iran’s Supreme Leader Khamenei and others. The geopolitics of the Middle East were transformed overnight. Russia has clearly positioned itself as a supporter of Iran, rapidly intensifying cyber operations against the United States and Israel.
In this context, the value of the data Chucky possesses is immeasurable. LeakBase had accumulated vast quantities of credentials belonging to Western government agencies, military personnel, financial institutions, and critical infrastructure companies. Rather than leaving him to operate freely as a “criminal,” confiscating him as a “state-managed weapon” carries far greater strategic value — that appears to be Russia’s calculation.
[The following description of confiscation intent is the author’s inference based on open-source information and does not constitute established fact.]
| Potential Military and Intelligence Uses of LeakBase Data |
|---|
| ● Government and military personnel passwords → Entry points into targeted systems |
| ● Banking and financial information → Sanctions evasion and unofficial financing |
| ● Corporate network information → Footholds for critical infrastructure access |
| ● Large-scale personal data → Spy recruitment and honeytrap operations |
3. The Russia-Iran-China “Triangle” — Deepening Cyber Cooperation
This is not Russia’s story alone. On January 29, 2026, a trilateral strategic agreement between Russia, Iran, and China was concluded, with its provisions including intelligence cooperation and cyber cooperation. Within this framework, LeakBase data may also be shared with pro-Iranian groups including Iran’s hacker collective “Handala” (inference).
Handala has already demonstrated its presence in this war. The intrusion into FBI Director Kash Patel’s personal Gmail account; the destructive attack on medical device giant Stryker (described by some as the largest wartime cyberattack in U.S. history) — both are seen as part of an asymmetric strategy designed to shake Western psychology. LeakBase credentials could function as intrusion pathways for such attacks.
Furthermore, Russia is reported to have already been providing Iran with the location data of U.S. military assets and movements of vessels and aircraft. If similar information sharing advances in the cyber domain, the cost of Western defense will rise sharply.
4. “Arrest” as Diplomatic Camouflage
What cannot be overlooked is that this arrest took place immediately following an international takedown operation against LeakBase by the FBI and 14 countries. An Europol spokesperson explicitly stated: “There was no cooperation with Russian authorities; they were not involved in this arrest.”
In other words, Russia is making it appear that it “cooperated” with the international community, while having absolutely no intention of extraditing Chucky to the West. He has no record of traveling outside Russia, and no extradition treaty exists. Russia has placed him in what amounts to “protective detention,” with an extremely high probability of incorporating him into national cyber operations.
This is a pattern Russia has repeated before. By presenting the fact of having “arrested a criminal,” Russia deflects international criticism while the state absorbs that capability. Law enforcement as a disguise for quiet conscription — that is the inferred true nature of this arrest.
5. Implications for Japan and Democratic Nations
This situation contains three important lessons for democratic nations including Japan.
- The credentials leaked from LeakBase may include those of Japanese companies and institutions. Government agencies and critical infrastructure operators should urgently verify whether their organization’s credentials are circulating on black markets.
- The nature of Russia’s cyber threat is changing. The boundary between “criminal” and “state operative” no longer exists. The conventional framework of “responding to cybercrime” is becoming inadequate, and responses within a national security context are now necessary.
- The Iran War is forming a “second front” in cyberspace. Military tensions in the Middle East can directly ripple into Japan’s cyberspace. Strengthening information-sharing frameworks with allied and friendly nations, and preparing for state-led cyber threats, are urgent priorities.
The arrest of “Chucky” is not merely the detention of a cybercriminal. It represents a historic turning point at which Russia has converted its former “tacit tolerance” into “confiscation” under wartime conditions. Policymakers and security professionals in democratic nations must take this structural change seriously and urgently pursue a fundamental review of cyber defense strategy.
References
[1] Russian police arrested the administrator of LeakBase cybercrime forum / TechCrunch (March 27, 2026) https://techcrunch.com — Primary reporting on the arrest. Confirmation of MVD statement and Europol non-involvement.
[2] LeakBase administrator arrested in Russia following FBI, international law enforcement operation / BleepingComputer (March 27, 2026) https://www.bleepingcomputer.com — Details of Operation Leak; 45 individuals, 100+ law enforcement actions.
[3] Chucky, the operator of the cybercrime marketplace LeakBase, was identified by researchers / KELA / TriTrace Threat Intelligence (March 2026) https://www.kelacyber.com — Threat intelligence report on suspect identification (33-year-old Taganrog resident).
[4] FBI Director Kash Patel personal Gmail hacked by Iranian group Handala / CNN / The Hacker News (March 2026) https://thehackernews.com — Reporting on Handala’s breach of FBI Director Patel’s email. Includes Check Point analysis.
[5] Cyberattacks surge 245% since Iran war began, Akamai reports / Akamai Technologies Security Report (March 2026) https://www.akamai.com/blog/security — 245% increase in cyberattacks since the war’s outbreak. Concentration on financial and healthcare sectors.
[6] Handala claims destructive attack on Stryker / BleepingComputer / SecurityWeek (March 2026) https://www.bleepingcomputer.com — Details of the destructive attack on Stryker. Impact on 150 million patients worldwide.
[7] Russia-Iran-China sign trilateral strategic agreement / The Washington Post / Reuters (January 29, 2026) https://www.washingtonpost.com — Conclusion of the trilateral agreement. Institutionalization of intelligence and cyber cooperation.
[8] Russia is sharing military intelligence with Iran to help target US forces / The Washington Post (February–March 2026) https://www.washingtonpost.com — Russia’s provision to Iran of U.S. military location data and vessel movements.
[9] U.S., Israel launch joint military operation against Iran / Associated Press / The New York Times (February 28, 2026) https://apnews.com — Launch of Operation Epic Fury / Roaring Lion. Reporting on the death of Supreme Leader Khamenei.
[10] Russian and Iranian hackers form loose coalition under #OpIsrael / Check Point Research (March 2026) https://research.checkpoint.com — Detailed analysis of coordinated attacks on Israel and Western defense companies by the Russia-Iran hacker coalition.
Author: Miho Funayama, Director and Senior Researcher Specializing in cyber security intelligence, grounded in international political economy and psychology. Has served as Vice International Secretary of ISO/IEC JTC1 SC28, leading international standards development processes. Currently engaged in cross-disciplinary research spanning AI risk, information warfare, and crisis management policy.