ハッカー集団の名前まとめ|有名なQilin・アノニマスと日本の被害
Qilinやアノニマス、北朝鮮のラザルスなど、ニュースで名前を聞くハッカー・ランサムウェア集団を、ランサム/国家支援/ソーシャル恐喝/ハクティビストの4タイプに分けて解説。どこで生まれ誰がいて、どんな有名企業を攻撃し、生活に何をもたらすのか。アサヒやKADOKAWA、日本の自治体を狙った集団まで正確にまとめました。
堀川 慎
Backend Engineer / AWS / Django / Go
Qilinやアノニマス、北朝鮮のラザルスなど、ニュースで名前を聞くハッカー・ランサムウェア集団を、ランサム/国家支援/ソーシャル恐喝/ハクティビストの4タイプに分けて解説。どこで生まれ誰がいて、どんな有名企業を攻撃し、生活に何をもたらすのか。アサヒやKADOKAWA、日本の自治体を狙った集団まで正確にまとめました。
ニュースでよく見る有名なハッカー集団の名前と正体を、目的別の4タイプに整理して解説します。
ニュースで「ランサムウェア集団Qilin(キリン)」「国際ハッカー集団アノニマス」といった名前を見かけても、それが誰で、どこから来て、何を狙っているのかまでは、なかなか分かりません。この記事では、世界で名の知られたハッカー集団・サイバー犯罪集団を、①身代金目的のランサムウェア集団 ②国家が背後にいる集団 ③若者中心のソーシャル恐喝系 ④政治目的のハクティビストの4タイプに分けて、一つずつ丁寧に整理します。
それぞれについて、どこで生まれたのか、どれくらいの人数で、どんな人物がいて、どんな有名企業を攻撃し、私たち一般の生活に何をもたらすのか、そして集団の中でどんな位置づけで、どんな手口を得意とするのかを見ていきます。当サイトは日々、新しい脆弱性(CVE)やサイバー攻撃の被害を速報していますが、その「攻撃する側」の地図を一枚にまとめたのがこの記事です。日本のアサヒグループやKADOKAWA、自治体を狙った集団も登場します。
なお、これらの集団の人数・被害件数・正体・国家とのつながりは、その性質上ほとんどが「推定」や「攻撃者側の主張」「各国政府による指摘」です。本記事でも断定を避け、「〜とされる」「〜と報じられている」という書き方を徹底しています。
ハッカー集団は大きく4タイプに分かれる
ひとくちに「ハッカー集団」と言っても、目的はまったく異なります。お金が欲しいのか、国家の命令で動いているのか、政治的な主張をしたいのか。まずこの4タイプを押さえておくと、個々の集団の位置づけが分かりやすくなります。
- ランサムウェア集団:データを暗号化して「人質」に取り、身代金を要求する金銭目的の集団。多くは「RaaS」という分業モデル(後述)で動きます。
- 国家支援型(APT):特定の国の政府・軍・諜報機関が背後にいるとされる集団。諜報(スパイ活動)や破壊工作、外貨稼ぎを担います。
- ソーシャル恐喝系:主に英語圏の若者が、人をだます「ソーシャルエンジニアリング」でIDを乗っ取り、データを盗んで脅す集団。
- ハクティビスト:政治的・社会的な主張のために攻撃する集団。サイトを一時的にダウンさせるDDoS攻撃が中心です。
ここで何度も出てくる「RaaS(ラース、Ransomware-as-a-Service)」という言葉を先に説明します。これは、ランサムウェア本体を作る「運営チーム」と、実際に企業へ侵入する「アフィリエイト(実行役)」が分業する仕組みです。運営はツールと交渉サイトを提供し、アフィリエイトが侵入して身代金を取り、その一部(多くは2割前後)を運営に上納します。フランチャイズのような構造だと考えると分かりやすいでしょう。この分業のおかげで、高い技術を持たない者でも攻撃に参加でき、被害が急増しました。
以下の早見表には、Qilin・LockBit・アノニマス・Lazarusなど、ニュースで頻繁に名前が出る集団を一覧にまとめています。集団名から正体を引けるよう整理しました。
主要集団 早見表
本編に入る前に、この記事で取り上げる主要な集団を一覧にまとめます。気になる集団から各セクションへ読み進めてください。
| 集団 | タイプ | 拠点・背景 (とされる) | 代表的な事件 |
|---|---|---|---|
| Qilin | ランサム | ロシア語圏 | 英ロンドンの病院検査停止 アサヒ(日本) |
| LockBit | ランサム | ロシア | 英ロイヤルメール 2024年に国際摘発 |
| Cl0p | ランサム | ロシア語圏 | MOVEit大量悪用 (約9,580万人) |
| ALPHV/BlackCat | ランサム | ロシア語圏 | 米医療大手 →出口詐欺で消滅 |
| Akira | ランサム | ロシア語圏 | VPN機器を狙い急伸 件数2位級 |
| Conti/REvil | ランサム (解散) | ロシア | コスタリカ国家非常事態 Kaseya・JBS |
| RansomHub | ランサム | ロシア語圏 | 2024年に最多級 →2025年に停止 |
| DragonForce | ランサム | 不明・諸説 | 英M&S;・Co-op 「カルテル化」 |
| Black Basta | ランサム | ロシア語圏 | 米病院140施設 内部チャット流出 |
| Play/Medusa/ INC/BlackSuit | ランサム | ロシア・東欧系 | KADOKAWA/ニコニコ (BlackSuit、日本) |
| Hive | ランサム (摘発) | ロシア語圏 | FBIが内部潜入し復号鍵配布 |
| ロシアのAPT (Fancy/Cozy/Sandworm) | 国家支援 | ロシア軍・諜報 | 米大統領選介入 NotPetya・ウクライナ停電 |
| 中国のAPT (Volt/Salt/APT41) | 国家支援 | 中国 | 米インフラ潜伏 米通信大手侵入 |
| イランのAPT (MuddyWater/APT35) | 国家支援 | イラン | 中東中心の諜報 反体制派・記者を標的 |
| 北朝鮮のAPT (Lazarus/Kimsuky) | 国家支援 | 北朝鮮 | WannaCry 暗号資産の大量窃取 |
| The Com/ Scattered Spider | ソーシャル 恐喝 | 英語圏の若者 | 米カジノMGM・Caesars |
| LAPSUS$/ ShinyHunters | ソーシャル 恐喝 | 英・ブラジル等 | Okta・Nvidia・GTA6流出 大規模データ窃取 |
| Anonymous/LulzSec | ハクティ ビスト | 国際・分散 | 各種抗議DDoS Sony・CIAサイト |
| Killnet/ NoName057(16) | ハクティ ビスト | 親ロシア | 日本の政府・自治体に DDoS |
| IT Army of Ukraine | ハクティ ビスト | ウクライナ | 国家が公然と動員 |
それでは、ここから一つずつ詳しく見ていきます。
A. 身代金目的のランサムウェア集団
いま世界で最も活発で、企業に直接の金銭被害をもたらしているのがこのタイプです。多くは前述のRaaS(分業)モデルで動き、データを暗号化したうえで「払わなければ盗んだデータも公開する」と二重に脅す「二重脅迫」を使います。日本のアサヒグループやKADOKAWAを止めたのも、この系統の集団でした。
Qilin(キリン)
いまもっとも勢いがあるのがQilinです。2022年に「Agenda」という名で登場し、まもなくQilinへ改称した、ロシア語圏の活動とされるRaaSです。中核チームとアフィリエイトに分かれ、アフィリエイトの取り分が8割前後と高いと、内部に接触した調査会社Group-IBが報告しています。リークサイト掲載の被害者数では2025年に年間1,000件超で世界首位とされ、2026年に入っても首位を保つと報じられています。
一般の生活への影響を象徴するのが、2024年6月の英ロンドンの病院検査会社Synnovis(シノビス)への攻撃です。大病院群の血液・病理検査が麻痺し、予定手術や外来が大量に中止され、O型血液の深刻な不足を招きました。2025年には、検査の遅れがある患者の死亡の一因になったと病院側が確認しており、ランサムウェアと死が結び付けられた稀な例とされます。日本では、2025年9月にビール大手アサヒグループへ攻撃を仕掛けた集団でもあります(詳しくは当サイトのアサヒ事案の解説記事を参照)。フィッシングやVPN機器の弱点、盗んだIDから侵入し、WindowsだけでなくLinuxやサーバ仮想基盤まで暗号化するのが手口です。
LockBit(ロックビット)
数年前まで「ランサムウェアの帝王」と呼ばれたのがLockBitです。2019年に登場したロシア拠点のRaaSで、旧ソ連圏(CIS諸国)を攻撃対象から外すのが特徴でした。米司法省は120カ国超で2,500件超の被害を出したとしています。アフィリエイトが先に身代金を受け取る珍しい分配方式で多くの実行役を集め、極めて高速な暗号化と専用のデータ窃取ツール「StealBit」を武器にしました。
被害には英ロイヤルメール(国際郵便が数週間停止)、航空大手ボーイング、中国工商銀行の米国部門などがあります。一方で、トロントの小児病院SickKidsを攻撃した際には「アフィリエイトが規則違反をした」として異例の謝罪と無料の復号ツールを出しました。転機は2024年2月の「Operation Cronos」です。英NCA主導で約10カ国が連携し、サーバを押収、1,000超の復号鍵を回収しました。2024年5月には、首謀者「LockBitSupp」がロシア国籍のDmitry Khoroshev氏だと特定・起訴されています(本人はロシアにおり逃亡中とされる)。以降は勢いを失い、現在はQilinやAkiraに首位を譲っています。
Cl0p(クロップ)
Cl0pは「企業がファイルをやり取りするための製品」の未知の欠陥(ゼロデイ)を、一度に大量の組織へ仕掛けることで知られる、ロシア語圏とされる恐喝集団です。普段は静かですが、年に数回、特定製品の穴を突いて爆発的に被害を出す波形が特徴です。データを暗号化せず「盗んだデータを公開するぞ」とだけ脅すパターンも多く見られます。
象徴的なのが2023年のMOVEit Transfer(ファイル転送製品)の大量悪用です。約2,773組織・約9,580万人が影響を受けたとされ、史上最大級のデータ侵害になりました。英BBCやブリティッシュ・エアウェイズ、米政府機関などの従業員データが、給与処理大手の経由で流出しています。こうしたファイル転送製品(Accellion、GoAnywhere、MOVEit、Cleo)を狙うのが一貫した手口です。OSSやサプライチェーン経由の攻撃に関心があれば、当サイトのOSSサプライチェーン スキャナーもあわせてご覧ください。
ALPHV/BlackCat(ブラックキャット)
2021年に登場したALPHV(通称BlackCat)は、プログラミング言語Rustで作られた先駆的なランサムウェアで、米石油パイプラインを止めたDarkSideの後継/リブランドと広く評価されます。暗号化・データ公開・DDoSを組み合わせた「三重脅迫」と、ヘルプデスクへの巧みななりすまし電話で侵入する点が特徴でした。
最大の事件は2024年2月、米医療IT大手Change Healthcareへの攻撃です。全米の医療請求・薬局・決済が数週間混乱し、最終的に約1億9,000万人分の情報が流出した、米医療史上最大級の事件とされます。そして直後にALPHVは「出口詐欺(エグジットスキャム)」を実行しました。約2,200万ドルの身代金を受け取った後、実行役への分け前を踏み倒し、偽のFBI押収バナーを掲げて姿を消したのです。裏切られた実行役たちは、後継格のRansomHubへ流れたとされます。仲間内ですら信用できない、という犯罪集団の内実を象徴する幕引きでした。
Akira(アキラ)
2023年に登場し、わずか数年で件数2位級まで駆け上がったのがAkiraです。ロシア語圏とされ、解散したContiとのコードの類似が指摘されますが、これは分析上の推測にとどまります。1980年代風の緑と黒のターミナル調リークサイトが目印です。米CISAの勧告では2024年初頭時点で250超の組織に影響、2025年の更新では累計約2億4,400万ドルの恐喝と推計されています。
手口で特に重要なのが、多要素認証(MFA)を設定していないVPN機器を突いて侵入する点です。CiscoやSonicWallのVPNの脆弱性・盗んだIDを使って高速に入り込みます。これはアサヒの事案(VPNが突破口)とも共通する、いま最も警戒すべき侵入経路です。VPNなど境界機器の脆弱性は、当サイトでもランサム集団に悪用されるVPNの穴として速報しています。
Conti/REvil(コンティとレビル)— 解散した「レジェンド」
いまは消えていますが、ランサムウェアの歴史を語るうえで外せないのがContiとREvilです。Contiは2020年頃に登場したロシア拠点の集団で、まるで企業のように組織化されていた点が異例でした。2022年の内部リークでは、給与制のプログラマーや、採用・研修を行う人事部門、「今月の社員」表彰まで存在したことが明らかになっています。2022年にはコスタリカ政府を攻撃して同国が国家非常事態を宣言する(ランサムウェアで国家非常事態を出した初の国とされる)など猛威を振るいました。アイルランドの国家医療ITを数カ月麻痺させたのもContiです。ロシアのウクライナ侵攻後にロシア政府支持を表明した直後、内部関係者が6万件超のチャットを暴露し、2022年に解散。その人員はBlack BastaやRoyal(後のBlackSuit)などに散ったとされます。
REvil(レビル)は2019年登場のロシア拠点のRaaSで、「重要インフラを脅かすランサムウェア」時代の象徴です。2021年にはIT管理ソフトKaseyaのゼロデイを悪用し、約50の業者を経由して下流の最大1,500社へ一気に被害を広げました。世界最大の食肉加工JBSは1,100万ドルを支払い、スウェーデンのスーパーCoopは約800店が閉店しました。2022年にロシアの情報機関FSBがメンバーを拘束し、実質的に終焉。Kaseya攻撃の実行者ウクライナ人は米国で禁錮13年7カ月の判決を受けています。
RansomHub(ランサムハブ)
RansomHubは2024年2月に登場し、わずか1年足らずで最大級にのし上がったRaaSです。実行役の取り分を約9割と破格に設定し、しかも「実行役が先に身代金を受け取る」方式にして、ALPHVの持ち逃げ事件で広がった不信感を逆手に取ったとされます。これにより、解散・消滅したLockBitやALPHV出身の有力な実行役を吸収しました。米CISAは登場から半年で210超の組織に影響と報告しています。
被害には石油サービス大手ハリバートン、米薬局チェーンRite Aid(約220万人の情報流出と報道)などがあります。前述のChange Healthcare事件で、ALPHVが持ち逃げした後に盗まれたデータがRansomHubに渡り、二重に恐喝された経緯も報じられました。既知の脆弱性を突いて侵入し、セキュリティ製品(EDR)を無効化する専用ツールを使うのが特徴です。ただし2025年4月にインフラが停止したと報じられ、実行役はQilinなどへ移ったとされます。栄枯盛衰の速さがこの業界の特徴です。
DragonForce(ドラゴンフォース)
DragonForceは2023年に出現し、2025年に大きく台頭した集団です。最大の特徴は「カルテル化」。2025年に、自分たちは中央集権の運営をやめ、実行役が自前のブランド名でDragonForceの基盤(インフラ・交渉サイト・鍵管理)を手数料を払って借りられる仕組みへ転換すると打ち出しました。フランチャイズの本部のような立ち位置を狙ったもので、ライバル集団のサイトを攻撃・改ざんする「縄張り争い」を仕掛ける荒っぽさでも知られます。
日本でも報じられたのが2025年4〜5月の英マークス&スペンサー(M&S;)とCo-opへの攻撃です。M&S;はオンライン販売が数週間止まり、営業利益への打撃は約3億ポンド(約4億ドル)と試算されました。この攻撃の実行は、後述のソーシャル恐喝系Scattered Spiderが担い、DragonForceのランサムを展開したと報じられており、「カルテル」モデルの実例として注目されています(ただし当局による正式確認ではなく報道ベースです)。なお、同名の親パレスチナ系ハクティビスト「DragonForce Malaysia」は別組織なので混同に注意が必要です。
Black Basta(ブラックバスタ)
Black Bastaは2022年4月に出現した、解散したContiの後継格と広く評価されるロシア語圏のRaaSです。米CISAは2024年半ばまでに500超の組織に影響と記述し、2022年以降に1億ドル超を恐喝したと推計されています。2024年5月の米医療大手Ascensionへの攻撃では、19州・約140病院が混乱し、救急の受け入れ転送や電子カルテ停止で紙の運用に逆戻りしました。後に約560万人分のデータ流出が確認されています。
この集団を有名にしたのが、2025年2月の内部チャットの大量流出です。約20万件のやり取りが暴露され、フィッシングの手口、被害者のID、メンバーの役割、さらには「復号鍵を渡さず身代金だけ取る」詐欺的な内部の様子まで明らかになりました。流出させた人物は「ロシアの銀行を攻撃した報復」と動機を主張しています。この事件後、Black Bastaは新規の攻撃が確認されなくなり、事実上停止状態とされます。手口としては、大量のメールを送りつけてから電話やMicrosoft Teamsで「IT担当」を装い、遠隔操作ソフトを入れさせる「ビッシング(音声フィッシング)」が特徴でした。
Play・Medusa・INC Ransom・BlackSuit(件数上位の常連たち)
ここまでの大物以外にも、被害件数のランキング上位に常連として並ぶ集団があります。4つをまとめて紹介します。
Play(プレイ)は2022年出現のロシア系とされる「閉鎖型」集団で、公募の実行役を取らないのが特徴です。FBIは2025年5月時点で約900組織を把握とし、スイス政府の機密文書約65,000件の流出や、ドーナツチェーンKrispy Kremeのオンライン注文停止などを引き起こしました。Medusa(メデューサ)は2021年頃からのRaaSで、支払い後にさらに金を要求する「三重脅迫」傾向で知られ、米CISAは2025年に重要インフラ含む300超の被害を報告。トヨタの金融子会社(海外法人)や米救急事業者、画像診断企業などが被害に挙げられています。
INC Ransomは2023年半ば出現で、英スコットランドの国民保健サービス(NHS)の患者データ流出や、米食品小売大手Ahold Delhaize(約220万人に影響)などを攻撃しました。ソースコードが30万ドルで売られ、別集団Lynxへ派生したとされます。そして日本の読者に最も身近なのがBlackSuit(旧Royal)です。元Conti勢が中心とされ、2024年6月にKADOKAWAグループを攻撃し、ニコニコ動画が全面停止して障害が数週間続いた事件で知られます。米国ではダラス市(警察通信が止まり911が手書き対応)や、自動車販売システムCDK Global(北米約1.5万ディーラーが停止)も攻撃しました。2025年7月、当局の「Operation Checkmate」でインフラが押収されましたが、逮捕には至らず、別ブランドへ移った可能性が指摘されています。
Hive(ハイブ)— 当局が「反撃」した事例
Hiveは2021年に登場し、80カ国超で1,500超の被害を出し1億ドル超を恐喝したとされるRaaSですが、ここで紹介する理由は「やられた」側の物語があるからです。Hiveはコスタリカの国民皆保険システムや、米国の複数の病院を攻撃し、医療現場を麻痺させました。バックアップを探して消し、復旧を妨害するのが手口でした。
この集団に対し、FBIは2022年7月から約7カ月間、裁判所の令状の下でHiveのネットワークに合法的に潜入しました。そして復号鍵をひそかに入手し、攻撃を受けている最中の被害者300超と、過去の被害者1,000超に鍵を配り、約1.3億ドルの身代金支払いを未然に防いだとされます。2023年1月、米独蘭などの連携でサーバが押収され、Hiveは停止しました。司法副長官は「我々がハッカーをハッキングした」と表現しています。前述のLockBit摘発と並び、「当局の反撃」が成果を上げた象徴的な事例です。攻撃中の脆弱性カタログは、当サイトのCISA KEV 日本語ダッシュボードでも追えます。
B. 国家が背後にいる集団(APT)
ここからは毛色が変わります。お金ではなく、国家の意思で動くとされる集団です。専門的には「APT(持続的標的型攻撃)」と呼ばれ、潤沢な資金と高い技術を持ちます。なお、どの国も自国の関与は否定しており、以下の「所属」はすべて各国政府やセキュリティ企業による指摘です。
ロシア:Fancy Bear・Cozy Bear・Sandworm
Fancy Bear(APT28)は、ロシア軍参謀本部情報総局(GRU)の部隊とほぼ同一と各国政府が指摘する集団です。2016年の米大統領選干渉(民主党本部への侵入とされる)や、フランスのテレビ局TV5Mondeの停波などで知られ、主に諜報と世論工作を担うとされます。Cozy Bear(APT29)はロシア対外情報庁(SVR)の一部とされ、長期間ひそかに潜伏する諜報に徹します。代表例は2020年に発覚したSolarWinds事件で、IT管理ソフトの更新にバックドアを仕込み、米政府機関を含む多数の組織に侵入したとされます。
最も破壊的なのがSandwormです。GRUの別部隊とされ、破壊工作を得意とします。2017年のNotPetya(ノットペーチャ)は、ウクライナの会計ソフトの更新を悪用してデータを破壊するマルウェアを世界中に拡散させ、海運大手Maerskや製薬大手Merckなどが麻痺、総被害は100億ドル超とされます。さらにウクライナの送電網を攻撃して実際に都市を停電させた、数少ない「物理的被害を出したサイバー攻撃」の主体でもあります。
中国:Volt Typhoon・Salt Typhoon・APT41
Volt Typhoonは、中国を拠点とする国家支援集団と米政府・Microsoftが指摘する集団で、2023年に公表されました。特徴は派手な攻撃をせず、米国の通信・電力・水道などの重要インフラに長期間ひそかに潜伏する「事前配置」です。有事に備えて、いつでもインフラを妨害できる足場を作っているとされ、家庭用ルーターなどを踏み台にして正規ツールだけで動き、検知を避けます。Salt Typhoonは2024年に発覚し、ベライゾンやAT&T;など米通信大手に侵入。捜査用の合法的傍受システムにまでアクセスし、政治家の通話が標的になったと報じられました。
APT41は少し毛色が違い、国家の諜報活動と、個人的な金もうけを兼ねる「二刀流」とされます。ソフトの更新に悪性コードを混ぜるサプライチェーン攻撃(CCleanerやASUSの更新を悪用し多数のユーザーに波及)で知られ、米国ではコロナ給付金から2,000万ドル超を詐取したとも指摘されています。国家の任務の合間に私腹を肥やす、という異色の存在です。
イラン:MuddyWater・Charming Kitten
MuddyWaterは、イラン情報治安省(MOIS)の下部組織と各国当局が指摘する集団です。中東を中心に、政府・通信・防衛・石油ガスなどへスパイ活動を行い、PowerShellという正規ツールを多用して隠れるのが特徴です。Charming Kitten(APT35)はイラン革命防衛隊(IRGC)の代理とみられる集団で、攻撃対象が人に向く点が特徴です。
具体的には、ジャーナリスト、研究者、反体制派、政府関係者を狙ったスピアフィッシングを得意とし、偽のLinkedInアカウントなどで長期間信頼させてからアカウントを乗っ取ります。2019〜2020年には米大統領選の候補陣営も標的にしたとMicrosoftが報告しています。組織より「個人」を執拗に狙い、その言論や安全を脅かすのがこの集団の怖さです。
北朝鮮:Lazarus・Kimsuky
Lazarus(ラザルス)は、北朝鮮政府(偵察総局)の指揮下にあると米政府が指摘する、極めて特異な集団です。諜報や破壊工作に加えて、国家の資金を稼ぐための大規模な金融・暗号資産の窃取を担う点がほかの国家系と決定的に違います。2014年のソニー・ピクチャーズ攻撃、2017年に世界の病院や企業を混乱させたWannaCry(ワナクライ)、そして暗号資産の歴史的な大型窃取で知られます。2025年には暗号資産取引所Bybitから約15億ドル相当が盗まれ、FBIがLazarus系の犯行と断定しました。盗んだ資金は北朝鮮の兵器開発に回るとされ、偽の求人で技術者をだます「Operation Dream Job」も得意です。
Kimsuky(キムスキー)も北朝鮮の偵察総局傘下とされますが、こちらはお金より情報収集(諜報)に特化しています。韓国を中心に、安全保障の専門家、外交官、研究者、報道関係者を狙い、2014年には韓国の原子力発電事業者へのフィッシング攻撃で内部情報や設計図が流出したとされます。Lazarusが「稼ぐ」係、Kimsukyが「探る」係という役割分担が見えてきます。
C. 若者中心のソーシャル恐喝系
近年、最も警戒されているのが、英語圏の10代〜20代前半を中心とするこのタイプです。高度なマルウェアより、人をだます話術(ソーシャルエンジニアリング)でIDを乗っ取り、データを盗んで脅すのが特徴。「ハッキングするのではなく、ログインする」という発想で、企業の一番弱い「人」を突いてきます。
The Com(ザ・コム)— 集団というより「生態系」
個別の集団の前に、その母体となっているThe Com(ザ・コム)を説明します。これは単一の組織ではなく、英語圏(米・英・カナダ)の若者がつながる、リーダーのいない緩やかな巨大なオンライン・コミュニティ(生態系)とされます。FBIは年齢層をおおむね11〜25歳、規模を数千人規模と見ていると報じられています。
この生態系の中から、後述のScattered SpiderやLAPSUS$といった有名な「クルー(班)」が生まれました。FBIによれば、企業ハッキングで稼ぐ層、恐喝を行う層、そして現実世界の暴力(脅迫・襲撃)を請け負う層まで存在するとされ、最年少9歳という被害者への性的恐喝なども警告されています。盗んだ資金で10代をさらに引き込み、被害者がいつしか加害者になっていく——「集団」と呼ぶより、若者がのめり込む危うい「文化圏」と捉えるのが実態に近い存在です。
Scattered Spider
The Comから生まれた最も有名なクルーがScattered Spiderです。2022年頃に出現した、米英在住の10代後半〜20代前半が中心の集団とされます。彼らの武器は徹底したソーシャルエンジニアリングで、企業のITヘルプデスクに従業員になりすまして電話し、パスワードや多要素認証を突破します。携帯番号を乗っ取る「SIMスワップ」や、認証通知を何度も送りつけて承認させる手口も使います。
2023年9月には米ラスベガスのカジノ大手MGM ResortsとCaesarsを攻撃。MGMはホテルのカードキーやATMなどに障害が出て大混乱し、Caesarsは約1,500万ドルを支払ったと報じられました。前述のDragonForceの英M&S;攻撃でも実行役を担ったとされます。逮捕者も出ており、フロリダの男は暗号資産の窃取で禁錮10年、スコットランドの男も米国へ引き渡されています。若いからと侮れない、現役で最も危険なクルーの一つです。
LAPSUS$・ShinyHunters
LAPSUS$は2021年に登場した、英国とブラジルの10代が中心とされた恐喝集団です。データを盗んで公開をちらつかせる手口で、Okta、Nvidia、Microsoft(ソースコード約37GB)、Samsung、そしてゲーム『GTA VI』の未公開映像流出など、名だたる企業を次々と餌食にしました。SNSで企業の内部社員にお金を払って協力させる「内通者の勧誘」まで行ったのが衝撃的でした。首謀者は当時16歳の英国の少年とされ、2022年に逮捕されています。
ShinyHuntersは2020年から活動する、大規模なデータ窃取と売買を専門とする集団です。名前はゲーム「ポケモン」の色違い集めに由来するとされます。インドネシアのTokopedia(約9,100万件)や小説投稿サイトWattpad(約2.7億件)など、数億人規模の個人情報を盗み出し、闇サイトで売買してきました。2025年には、Scattered Spider・LAPSUS$・ShinyHuntersが手を組んだ「Scattered Lapsus$ Hunters(トリニティ・オブ・カオス)」という連合の出現も報じられ、クラウド営業支援サービスSalesforce経由の大規模恐喝を仕掛けたとされます(被害規模は攻撃者の主張ベース)。
D. 政治目的のハクティビスト
最後は、お金ではなく主義主張のために攻撃する集団です。手口はサイトを一時的にアクセス不能にするDDoS攻撃が中心で、データ破壊より「目立つこと」「メッセージを届けること」を重視します。日本の政府・自治体サイトを標的にした集団もここに含まれます。
Anonymous・LulzSec
Anonymous(アノニマス)は、2003年頃に画像掲示板4chanから生まれた、リーダーのいない分散型のハクティビスト集団です。会員制度はなく「名乗ること」自体が参加、というゆるさが特徴で、ガイ・フォークスの仮面が象徴になっています。サイエントロジー教会への抗議や、PayPal・Visaへの攻撃、アラブの春やウクライナ侵攻に絡む活動など、検閲や不正への抗議としてDDoSや情報暴露を行ってきました。良くも悪くも「インターネットの自由」をめぐる議論を象徴する存在です。
LulzSecは、そのAnonymousから派生し2011年にわずか約50日間だけ暴れた小さなグループ(中核6〜7人)です。「for the lulz(愉快犯的に)」を掲げ、ソニー・ピクチャーズやCIAの公開サイト、FBI提携団体を攻撃しました。中心人物「Sabu」が逮捕後にFBIの協力者となり、仲間が次々と特定された顛末でも有名です。思想性より娯楽性が強く、ハクティビズムの「やんちゃな原点」とも言える存在です。
Killnet・NoName057(16)(日本も標的にした親ロシア系)
日本にとって他人事でないのが、この2つの親ロシア系ハクティビストです。Killnetは2022年に形成され、2022年9月に日本を名指しでDDoS攻撃しました。行政ポータルe-Gov(約6時間停止)、地方税のeLTAX、クレジットのJCB、東京メトロ・大阪メトロなど、政府4省庁を含む約20サイトで障害が確認されています。動機は「日本のウクライナ支援」と「北方領土問題」とされ、日本語の「宣戦布告」動画も投稿したと報じられました。創設者は「KillMilk」を名乗る人物で、その後ハッキングの商業会社化を表明したとされます。
NoName057(16)も親ロシア系で、賛同者が自分のPCに専用ツール「DDoSia」を入れてDDoSに参加するクラウド型が特徴です。2024年10月には約40の日本ドメインへ大規模なDDoSを実行し、標的の約半数が港湾・造船など物流・製造、次いで政府・自治体でした。動機は日本の防衛費増額や反撃能力の保有への反発とされます。2025年7月には欧州当局主導の「Operation Eastwood」で大規模な摘発を受けましたが、活動継続を宣言したとされます。基幹機能への実害は限定的でも、「政治的メッセージとしてのサイトダウン」が日本にも向けられている現実を示しています。
IT Army of Ukraine(国家が公然と動員した新しい形)
最後に、まったく新しい形のハクティビストを紹介します。IT Army of Ukraineは、2022年2月のロシア侵攻の直後、ウクライナのフェドロフ・デジタル変革相がSNSで世界中のハッカーに参加を公然と呼びかけて結成された、国家動員型の有志集団です。ピーク時には数十万人が登録したと報じられ、政府が標的リストを配り、ウクライナ人と外国人の志願者がロシアの銀行・決済・政府サイトを攻撃しました。
これは「国家が公然と世界のハッカーを動員した史上初の事例」とされ、従来のハクティビズムとは一線を画します。一般市民が戦争に参加することの是非や、国際人道法上の論点も指摘され、2023年には赤十字国際委員会がハクティビスト向けの行動規範を示すきっかけにもなりました。なお、日本を標的にした事例は確認されておらず、前述のKillnetやNoName057(16)とは対照的です。サイバー攻撃が「国家の道具」であると同時に「市民が参加する戦場」にもなりつつある現実を象徴する存在です。
日本とのつながり
遠い海外の話に見えて、これらの集団は日本にも確実に届いています。整理すると、Qilinはビール大手アサヒグループを止めて業績下方修正にまで追い込み、BlackSuit(旧Royal)はKADOKAWA/ニコニコを数週間ダウンさせました。Killnet(2022年)とNoName057(16)(2024年)は、いずれも日本の政府・自治体サイトへのDDoSを実行しています。Medusaもトヨタの金融子会社(海外法人)を攻撃したとされます。
共通して見えるのは、侵入の入口がVPNなどの境界機器の脆弱性や人をだますソーシャルエンジニアリングであることです。これは当サイトが日々のCVE速報で追っている領域そのものです。たとえばアサヒの事案の詳細や、製造業へのランサム集中、AIが攻撃を加速させている構造など、関連する解説もあわせてご覧ください。敵の名前と手口を知ることは、自分や自社を守る第一歩になります。
まとめ
ハッカー集団と一口に言っても、お金を狙うランサムウェア集団、国家の意思で動くAPT、人をだます若者のソーシャル恐喝系、主義主張のハクティビストと、その動機も手口もまったく異なります。そして特徴的なのは、栄枯盛衰が非常に激しいこと。帝王LockBitは当局に摘発され、ALPHVは仲間を裏切って消え、Contiは内部リークで瓦解し、いまはQilinが頂点に立っています。当局の「反撃」(HiveやLockBitの摘発)も着実に成果を上げています。
名前は変わっても、彼らが突いてくる弱点は驚くほど共通しています。更新されていない境界機器、弱いパスワード、そして「人」の油断です。だからこそ、敵の地図を知ったうえで、脆弱性をふさぎ、多要素認証を入れ、怪しい連絡を疑う——こうした基本の積み重ねが、最も確実な守りになります。この記事は最新の状況に合わせて随時更新していきます。
よくある質問
いま世界で一番活発なハッカー集団はどこですか?
ランサムウェア集団では、ロシア語圏とされるQilin(キリン)が2025年から2026年にかけて被害件数で世界首位とされています。日本のアサヒグループを攻撃した集団でもあります。ただし順位はリークサイトの主張ベースで、集計元により差があります。
アノニマスとランサムウェア集団は何が違うのですか?
目的が違います。アノニマスは政治的・社会的な主張のために攻撃するハクティビストで、サイトを一時的に止めるDDoSが中心です。一方ランサムウェア集団は純粋な金銭目的で、データを暗号化して身代金を要求します。
これらの集団は日本も狙っていますか?
はい。Qilinはアサヒグループ、BlackSuit(旧Royal)はKADOKAWA/ニコニコを攻撃し、親ロシア系のKillnetやNoName057(16)は日本の政府・自治体サイトにDDoSを行ったとされます。日本も明確に標的になっています。
国家支援型(APT)と普通のハッカー集団の違いは?
APTは特定の国の政府・軍・諜報機関が背後にいるとされる集団で、潤沢な資金と高い技術を持ち、諜報や破壊工作を担います。なお、どの国も自国の関与は公式には否定しており、所属は各国政府やセキュリティ企業による「指摘」です。
こうした集団から身を守るには?
多くの侵入口は共通しています。VPNなど外部公開機器を最新に保つ、推測されにくいパスワードと多要素認証を使う、ITヘルプデスクを装う不審な連絡を疑う、バックアップを隔離して保管する——これらの基本が最も効果的な防御です。
更新履歴
- ▸2026年6月15日:初版公開(4タイプ・主要23集団を収録)
参照元
- ▸米CISA #StopRansomware 各種アドバイザリ(Qilin/LockBit/Cl0p/Akira/RansomHub/Black Basta/Play/Medusa/Volt Typhoon/Salt Typhoon ほか)
- ▸MITRE ATT&CK; Groups(APT28/29/Sandworm/APT41/MuddyWater/Charming Kitten/Lazarus ほか)
- ▸英NCA - LockBit首謀者の特定と制裁(Operation Cronos)
- ▸Krebs on Security - ALPHV/BlackCatの出口詐欺
- ▸TechCrunch - Cl0pによるMOVEit大量悪用の被害規模
- ▸The Record - FBIによるHive潜入と復号鍵配布
- ▸BBC - DragonForce/Scattered SpiderによるM&S;攻撃
- ▸Flashpoint - The Com(生態系)の解説
- ▸NETSCOUT - NoName057(16)による対日DDoS
- ▸piyolog - Killnetによる対日DDoS(2022年9月)まとめ
- ▸WIRED - SandwormとNotPetyaの被害