11カ国合同捜査、暗号資産の大規模マネロン網を摘発
欧州司法機構(ユーロジャスト)は6月12日、11カ国が参加した国際合同捜査により、暗号資産を使った大規模な資金洗浄ネットワーク「AudiA6」を摘発したと発表した。2022年から2025年にかけて、約3億3,600万ユーロ(約3億9,000万ドル)相当の不正資金がこのネットワークを通じて処理されていたとみられている。
当局はジョージアでロシア人とウクライナ人の管理者2名を逮捕し、25のドメイン、30台以上のサーバー、約80台の車両を押収した。さらに暗号資産で約90万ドル分が凍結された。この大規模摘発は、ユーロジャストと欧州刑事警察機構(ユーロポール)の調整のもと、米国、オーストラリア、フランス、ポーランド、ジョージア、アイスランド、カナダ、ドイツ、日本、スイス、英国の法執行機関が参加して実現したものだ。
暗号資産の匿名性を悪用した資金洗浄は、ランサムウェア攻撃の収益化において中核的な役割を果たしている。今回の摘発は、国際的な法執行の連携が仮想通貨犯罪に対しても有効であることを示す象徴的な事例だ。この記事では、摘発されたAudiA6の仕組みと、背後に広がるサイバー犯罪エコシステムの実態を解説する。
AudiA6とは何か、「ミキサー・アズ・ア・サービス」の実態
AudiA6は、いわゆる「ミキサー・アズ・ア・サービス(Mixer as a Service)」として機能していた。ミキサーとは、複数の利用者から暗号資産をプールし、出所をわからなくしてから別のアドレスに送り返す仕組みだ。例えるなら、色のついたコインを大きな箱に集め、かき混ぜてから無色にして返すようなもので、資金の追跡を著しく困難にする。
通常のミキサーと異なり、AudiA6はランサムウェア攻撃者など特定の犯罪者を主要顧客とし、約1時間という短時間で資金を「洗浄」するサービスを提供していた。手数料は3%から10%で、速度と確実性を売りにしていたとみられる。これは単なるツールの提供ではなく、犯罪者向けに最適化された課金型のビジネスモデルだ。
ブロックチェーン分析企業Chainalysisの調査によれば、2021年以降にAudiA6のウォレットが受け取ったビットコインは約10,333BTCに上る。取引当時の評価額で約3億8,900万ドル相当だ。この数字は、同サービスが国際的なマネーロンダリングインフラとして、いかに大規模に利用されていたかを物語っている。
ランサムウェア資金の出口戦略としての役割
ランサムウェアとは、企業や組織のデータを暗号化して使用不能にし、復旧させる代わりに身代金を要求するサイバー攻撃の一種だ。攻撃者は通常、支払いにビットコインなどの暗号資産を指定する。しかし、ブロックチェーン上では取引が公開されるため、そのままでは法執行機関に追跡されるリスクがある。
AudiA6は、ここで「資金洗浄」の出口を提供していた。ランサムウェア攻撃者が得た暗号資産を同サービスに送り、追跡不能な状態で回収するという流れだ。ユーロジャストによれば、2024年にオーストラリアの企業がランサムウェア攻撃で支払った身代金の一部も、AudiA6を通じて洗浄されていたことが確認されている。
Dark2Web、犯罪者をつなぐ闇のマーケットプレイス
AudiA6の背後にいたサイバー犯罪シンジケートは、資金洗浄サービスにとどまらず、「Dark2Web」と呼ばれるマーケットプレイスフォーラムも運営していた。ここでは不正なサービスやツールが広告され、世界中のサイバー犯罪者が取引相手を見つける場として機能していたという。
Dark2Webは通常のウェブ(クリアウェブ)とダークウェブの両方に存在し、犯罪者同士のマッチングプラットフォームとしての性格が強い。ランサムウェアの実行方法、盗んだデータの販売、マネーロンダリングの代行業者など、違法サービスの総合カタログのようなものだ。AudiA6はこのエコシステムにおける資金洗浄部門を担っていたことになる。
今回の摘発により、AudiA6とDark2Webのドメインはすべて押収され、現在は押収通知のバナーが表示される状態となっている。犯罪インフラの物理的なサーバーとドメインが同時に無力化されたことで、背後にいた組織の活動は事実上停止したとみられる。
KYCをすり抜ける偽装口座のネットワーク
今回の捜査で特に注目されるのが、6,000件以上のKYC(本人確認)記録が関与していた点だ。KYCとは、金融機関や暗号資産取引所が顧客の身元を確認する手続きのことで、マネーロンダリング対策の中核とされている。しかしAudiA6のネットワークでは、盗まれた身分情報や購入された名義を使って偽装口座が量産されていた。
これらの口座は「マネーミュール(資金の運び屋)」と呼ばれ、資金移動の最終段階を担っていた。ユーロジャストの発表によれば、多くはロシア語圏の仲介業者を通じてリクルートされており、組織的に暗号資産取引所を通じた犯罪収益の移動が行われていた。KYCの形骸化を突いた手法と言える。
この事実は、暗号資産取引所における本人確認の厳格化だけでは不十分であり、アカウントの行動分析や取引パターンの監視といった多層的な対策が不可欠であることを示している。犯罪者は常に制度の隙間を探しており、防御側も進化を続ける必要がある。
ランサムウェアの急増とマネロン対策の最前線
AudiA6摘発の背景には、ランサムウェア攻撃の世界的な急増がある。セキュリティ企業Emsisoftの調査では、2026年第1四半期に97カ国でランサムウェアの被害が記録された。特に米国への集中が顕著で、全被害者の64.7%を占めている。
チェック・ポイント・リサーチが5月に発表したレポートによれば、2026年第1四半期のランサムウェア被害の71%は上位10グループによって引き起こされており、エコシステムは少数の強力なオペレーターに再集約されつつある。これは、攻撃の効率化と大規模化が同時に進行していることを意味する。
一方で、身代金の支払い件数自体は減少傾向にあるとの報告もある。企業のバックアップ体制の強化や、法執行機関による取り締まりの強化が背景にあるとみられる。AudiA6の摘発も、犯罪収益の資金洗浄ルートを断つことで、ランサムウェアのビジネスモデルそのものを弱体化させる狙いがある。
国際法執行の成果と今後の課題
11カ国が連携した今回の摘発は、暗号資産を悪用した国境を越える犯罪に対して、国際協力が有効であることを証明した。ドメイン押収とサーバー停止、管理者の逮捕、資金の凍結という多面的なアプローチにより、犯罪インフラの根幹を無力化している。
しかし、AudiA6のようなサービスは需要がある限り、別の名称や形態で再登場する可能性が高い。実際、過去にもミキサーの摘発後に類似サービスが出現した事例は複数ある。規制の枠組みと技術的な追跡能力の両面で、継続的な改善が求められている。
この記事のポイント
- 11カ国合同捜査により、暗号資産の大規模マネロン網「AudiA6」が摘発された
- AudiA6は3%〜10%の手数料で約1時間の「資金洗浄」を提供し、約3億9,000万ドル相当を処理
- 背後では犯罪者向けマーケットプレイス「Dark2Web」も運営されており、今回同時に閉鎖
- 6,000件以上の偽装KYC口座が使われ、KYCの形骸化を突いた手口が判明した
- ランサムウェア攻撃は2026年に入り急増、上位10グループが被害の71%を占める集中化が進行中
暗号資産とブロックチェーンの可能性を追求するエミリー。
暗号資産投資、DeFi、NFT、WEB3、メタバースといった最先端分野を深く理解し、「エミリーズ・クリプト・インサイダー」を運営。
分かりやすい解説で、ブロックチェーン革命の潮流を一般に広めることを目指す。初心者から上級者まで、最新情報を求めるすべての人に役立つ情報発信を心がけている。