【速報】REvil/GandCrab首謀者を独警察が実名公開、31歳ロシア人

ドイツ連邦刑事局（BKA）が、ランサムウェア「GandCrab」と「REvil」の首謀者を実名で公開しました。2026年4月5日付の捜査報告で、ハンドルネーム「UNKN（UNKNOWN）」として知られていた人物が、31歳のロシア人ダニール・マクシモヴィチ・シチューキン（Daniil Maksimovich Shchukin）であると特定されています。

GandCrabとREvilは、2018年から2021年にかけて世界中の企業・政府機関を脅迫し続けたランサムウェアグループです。被害総額は3,500万ユーロ（約57億円）を超え、GandCrab時代には総額20億ドル（約3,100億円）を恐喝したと自称していました。2021年7月には米IT管理企業Kaseyaへのサプライチェーン攻撃で1,500社以上に被害を出し、7,000万ドルの身代金を要求した事件は世界的なニュースになりました。

特定された2人の人物

BKAが公開した捜査報告によると、首謀者として特定されたのは以下の2人です。

シチューキンは、ロシアのサイバー犯罪フォーラムに100万ドル（約1.5億円）をエスクロー（預託金）として預け入れ、アフィリエイト（協力者）を募集していたことが確認されています。これは「資金力の証明」として機能し、犯罪ネットワークの信頼を得るための手法です。

米司法省は2023年2月、シチューキンに紐づく暗号通貨ウォレットに対して31万7,000ドル以上の差押え手続きを行っています。

GandCrabとREvilは同じグループなのか

結論から言うと、セキュリティ研究者の多くは「REvilはGandCrabのリブランド（看板の掛け替え）」と見ています。

GandCrabは2018年1月に登場したランサムウェアで、「RaaS（Ransomware as a Service）」と呼ばれるビジネスモデルを採用していました。これは、開発者がランサムウェアのツールキットを作り、実際の攻撃は「アフィリエイト」と呼ばれる別のハッカーたちに委託する仕組みです。身代金の30〜40%がアフィリエイトに支払われていました。

2019年5月31日、GandCrabは「20億ドルを稼いだので引退する」と宣言して活動を停止します。ところが、ほぼ同時期にREvilが登場しました。コードの構造、アフィリエイトの顔ぶれ、運営手法がGandCrabと酷似しており、Palo Alto NetworksのUnit 42をはじめ複数のセキュリティ企業が「同一グループの後継」と分析しています。

今回のBKAの捜査は、シチューキンが両方のグループを率いていたと明確に認定しており、長年の推測に公的な裏付けが加わった形です。

GandCrab/REvil事件の時系列

← スワイプで移動

Kaseya攻撃で何が起きたのか

REvilが世界的に知られるきっかけとなったのが、2021年7月4日のKaseya VSA攻撃です。

Kaseyaは、企業のIT管理を代行するMSP（マネージドサービスプロバイダー）向けのソフトウェアを提供する米国企業です。REvilはこのソフトウェアの脆弱性を突き、Kaseyaを経由してMSPの顧客企業にまでランサムウェアを配信しました。いわゆる「サプライチェーン攻撃」です。

CNNの報道によると、被害は全世界で1,500社以上に及びました。スウェーデンの大手スーパーマーケットチェーン「Coop」は約800店舗のレジシステムが停止し、1週間近く営業できない状態に追い込まれています。REvilは全被害企業のデータを一括で復号する「万能キー」と引き換えに7,000万ドル（当時のレートで約77億円）を要求しました。

この攻撃はREvilの「ビッグゲームハンティング」戦略の集大成でした。年間売上1億ドル超の大企業だけを狙い、サイバー保険に加入している企業を優先的にターゲットにする手法です。保険があれば身代金を払える可能性が高いからです。

これまでの逮捕者と裁判の現状

REvil関連では、すでに複数の逮捕者が出ています。ただし、中心人物の逮捕には至っていません。

最も重い判決を受けたのは、ウクライナ人のヤロスラフ・ヴァシンスキーです。Kaseya攻撃に直接関与したとされ、2021年10月にポーランドで逮捕、2022年3月に米国へ移送されました。2024年5月、テキサス州北部地方裁判所は懲役13年4ヶ月と1,600万ドルの賠償を命じています。ヴァシンスキーは2,500件以上の攻撃に関与し、総額7億ドルの身代金を要求したとされます。

もう一人の重要人物であるロシア人イェフゲニー・ポリャニンは、3,000件以上のサイバー攻撃に関与した疑いで米国から起訴されていますが、ロシア国内にいるため逮捕されていません。

ロシアFSB（連邦保安局）は2022年1月に14人を逮捕しましたが、その後の展開は厳しいものでした。CyberScoopの報道によると、裁判にかけられたのは8人だけで、しかもランサムウェアではなく「違法な金融取引」という軽い罪状で起訴されました。複数のメンバーが刑期満了で釈放されています。

特定された首謀者は逮捕されたのか

逮捕には至っていません。BKAは、シチューキンとクラフチュクの2人がロシア国内にいると推定しています。

ロシアは自国民を外国に引き渡さないという方針を取り続けています。FSBが2022年に逮捕した14人についても、ロシア・ウクライナ間の戦争開始後に捜査協力は事実上停止しました。今回の実名公開は「逮捕できなくても追い詰める」というメッセージであり、シチューキンの渡航や資産移動を制限する効果が期待されています。

Krebs on Securityは、シチューキンがロシア国外へ渡航する可能性もあるパターンを持つと報じており、ロシアを出た瞬間に拘束される可能性があります。

日本企業への影響

REvil（旧名Sodinokibi）は、活動初期からアジア地域を主要なターゲットにしていました。トレンドマイクロのレポートによると、日本企業への攻撃も確認されています。

直接の名指し被害は多くありませんが、Kaseya経由のサプライチェーン攻撃では海外子会社やMSP経由で日本企業が巻き込まれたケースもあります。製造業を中心に、ランサムウェア被害は2026年の今も増え続けており、2026年3月だけで7社が被害を公表しています。

GandCrab/REvilの首謀者が特定されたことは一つの節目ですが、ランサムウェアの脅威そのものは終わっていません。REvilの手法を受け継いだグループは複数存在し、RaaSモデルは今や犯罪ビジネスの標準になっています。

8年がかりの追跡が示すもの

2018年にGandCrabが登場してから8年。その首謀者の素顔がようやく明かされました。

ドイツ、米国、ポーランド、ロシアと複数の国にまたがる捜査が進められ、アフィリエイトには有罪判決が下り、暗号資産は差し押さえられました。それでも首謀者がロシア国内にいる限り、身柄を確保できないという現実は変わりません。

今回の実名公開は、直接の逮捕には繋がらなくても、渡航制限・資産凍結・犯罪ネットワーク内での信用失墜といった間接的な効果を持ちます。「匿名で犯罪を続けられる時代は終わりつつある」という捜査当局からのメッセージは、ランサムウェア犯罪者全体への警告と言えます。

参照元

• ▸ Krebs on Security - Germany Doxes "UNKN," Head of RU Ransomware Gangs REvil, GandCrab（2026年4月5日）
• ▸ The Record - German police unmask two suspects linked to REvil ransomware gang（2026年4月）
• ▸ Security Affairs - BKA unmasks two REvil Ransomware operators behind 130+ German attacks（2026年4月）
• ▸ CNN - Member of ransomware gang sentenced to more than 13 years in prison（2024年5月1日）
• ▸ The Hacker News - Ukrainian REvil Hacker Sentenced to 13 Years（2024年5月）
• ▸ CNN - Kaseya ransomware attack: Up to 1,500 businesses affected（2021年7月6日）
• ▸ Palo Alto Networks Unit 42 - Understanding REvil
• ▸ トレンドマイクロ - ランサムウェアスポットライト：REvil/Sodinokibi
• ▸ CyberScoop - Russian court releases several REvil ransomware gang members
• ▸ CISA - Kaseya Ransomware Attack: Guidance for Affected MSPs（2021年7月）