ラテンアメリカおよびカリブ海地域のサイバー犯罪の現状

Executive Summary

本レポートは、2025年におけるラテンアメリカ・カリブ海地域(LAC)のサイバー犯罪エコシステムの動向と発展について概説するものです。Insikt Groupの調査によると、LAC地域で活動している、またはLAC地域を標的としている脅威アクターは、主にTelegramなどのクライアントサーバーアプリケーションやエンドツーエンド暗号化メッセージングプラットフォーム、および確立された英語またはロシア語のダークウェブや特別アクセスフォーラムを使用して、コミュニケーションや活動を行っている。脅威アクター、時間の経過とともに戦術、 TTPs 、 TTPs ( TTPs )を適応させながら、作戦の高度化を示しており、依然としてフィッシングやソーシャルエンジニアリング、マルウェアの配布、ランサムウェアなどの従来の方法に主に依存しています。 我々の分析に基づくと、ブラジル、メキシコ、アルゼンチンは、金銭目的のサイバー犯罪者によって最も標的にされている国であることが判明した。これはおそらく、これらの国々がラテンアメリカ・カリブ海地域で最大の経済規模を誇るためであろう。さらに、この調査に基づき、Insikt Groupは、脅威アクターが医療、金融、政府などの重要産業を標的にすることが多いことを発見した。これは、これらの産業が価値の高いデータを保有し、業務上の緊急性を抱えており、場合によっては脆弱な可能性のあるレガシーシステムに依存しているためである。

主な調査結果

背景

新型コロナウイルス感染症のパンデミック後、ラテンアメリカ・カリブ海地域では急速なデジタル化が進んだが、セキュリティの成熟度が追いつかず、クラウド導入の不均衡、旧来のインフラへの依存、そしてあらゆる業種におけるリモートワークの導入につながった。多くの組織は、強力なアクセス制御や多要素認証(MFA)を効果的に実装することなく、サービスとしてのソフトウェア(SaaS)プラットフォームを採用したため、ランサムウェアやデータ窃盗などのサイバー攻撃にさらされることになった。ラテンアメリカ・カリブ諸国における経済的不安定(インフレと通貨規制)は、サイバー犯罪を助長する一方で、制度的な防御力を弱体化させている。政治的不安定、社会的な抗議活動、そして汚職は、金銭的および政治的な動機を持つ者にとって新たな機会を生み出しました。脅威アクター。 若年層の高い失業率、所得格差、非公式経済の影響といった複合的な要因が、人々を代替的な収入源を求めるように駆り立て、それが今日見られるサイバー犯罪の多くを助長している。

世界経済フォーラムの報告書によると、LAC地域の回答者の13%が、重大なサイバー攻撃への対応に対する自国の準備状況に自信がないと回答した。 デジタル政府の発展、規制の進歩、地域への投資など、目覚ましい進歩が見られるにもかかわらず、多くの国では依然として、労働力の技術的能力や、環境を継続的に強化するための資源が不足している。ラテンアメリカ・カリブ海諸国の多くの政府機関のネットワークは大量の機密データを保有しているが、セキュリティに関するベストプラクティスが不十分であり、システムがサイバー攻撃に対して脆弱な状態にある。大規模な侵入は日常的にダークウェブ市場で流通、リサイクル、再販されており、個人情報の盗難、合成個人情報の詐欺、SIM スワップ、アカウント乗っ取りなどのサイバー犯罪が大規模に蔓延することを可能にしています。

ラテンアメリカ・カリブ海地域は、特に金融サービス分野において著しい技術的進歩を遂げてきたが、イノベーションは新たな課題を生み出している。金融テクノロジー業界は、モバイルバンキングアプリ、デジタルウォレット、即時決済システムなどを導入してきた。ラテンアメリカ・カリブ諸国では、リアルタイム決済システムの本人確認管理が脆弱なため、金融セクターにおけるサイバー犯罪の増加に直面しており、ソーシャルエンジニアリングによる不正行為がより効果的に行われている。ブラジルのPIXや同様のモバイルバンキングプラットフォームのような即時決済システムは、しばしば脅威アクターの標的となっている。取引速度が速くなり取引量が増えるにつれて、不正行為や復旧作業はますます複雑化し、詐欺行為はより収益性が高く、規模も大きくなります。

ラテンアメリカ・カリブ海地域は、公表されたサイバーインシデントの増加が世界で最も高い地域だが、未報告のインシデントも数多く存在する。LAC 諸国のうち重要なインフラをサイバー攻撃から保護する計画を持っているのは 7 か国だけであり、コンピューター セキュリティ インシデント対応チーム (CSIRT) を備えているのは 20 か国だけです。 ラテンアメリカ・カリブ海諸国の31か国はサイバー犯罪に対処する何らかの法律を制定しているものの、多くの国で人材不足が深刻化しており、法執行の障壁となっている。限られた法執行機関のリソースと信頼性の低い州間協力により、捜査と訴追がさらに遅延し、脅威アクター比較的容易に管轄区域を越えて活動できる。 サイバー犯罪はリスクが低く、見返りが大きいという文化的認識は、本来であれば信頼できる法執行機関の活動が持つはずの抑止効果を損なう。このインセンティブ構造は、社会的な偏見の軽減と相まって、再犯や新規勧誘を助長しており、これはInsikt Groupが2025年に観測したサイバー犯罪の傾向にも反映されている。

ラテンアメリカ・カリブ海地域におけるサイバー犯罪活動

Insikt Group 、2025 年を通じて、クリアネットとダークウェブ情報源で活動するさまざまな種類のサイバー犯罪者を調査し、特定しました。 サイバー犯罪者は、初期アクセスにフィッシングを日常的に利用しており、最も一般的な方法の1つは、ホストのファイルシステムまたはデータベースから直接機密情報を検索して収集することです。 このTTPs 、技術、手順)は、多くの場合、財務記録、パスワード、その他の個人識別情報(PII)を取得するために使用される重要な事前流出ステップであり、アカウントの乗っ取りや詐欺を行うために利用される可能性が高い。 Insikt Group調査によると、サイバー犯罪者は近距離無線通信(NFC)を悪用して金融詐欺を行うために、攻撃手法( TTPs )を進化させ始めており、マルウェアを使用して仮想通貨ウォレットを標的にしていることが明らかになった。 Insikt Group情報によると、サイバー犯罪者は主に情報漏洩/侵入データベースとアクセス方法の販売、およびハクティビスト集団への参加に興味を持っています。 場合によっては、高度な持続的脅威(APT)が、この地域を標的とする際に、サイバー犯罪と活動を重複させるようになっている。

サイバー犯罪情報源

LAC地域で活動または同地域を標的とする脅威アクターは、2025年を通して、確立された英語およびロシア語のフォーラムのインフラストラクチャに依存し続けました(付録Aを参照)。Insikt Groupは、複数の既存のダークウェブおよび特別アクセスフォーラムにおいて、スペイン語とポルトガル語の投稿を確認した。これらの情報源は主に英語とロシア語を話す人々によるものですが、これらの投稿は、中南米を標的とする脅威アクターが、より確立された伝統的なプラットフォームをビジネスを行うために好む傾向を示している可能性が高いです。調査によると、中低レベルのフォーラムは、中南米諸国を拠点とする、またはこれらの国々を標的とする脅威アクターによって最も一般的に使用されていることが分かった。これは、彼らの技術レベルが低いことを示唆している可能性がある。なぜなら、上位レベルのフォーラムでは、アクセスするために保証人、支払い、知識や技術的能力の実証、場合によっては非公開の招待が必要となることが多いからである。

Insikt Groupは、脅威アクター間のコミュニケーションのほとんどは、スピード、アクセスの容易さ、グループメンバー間の信頼度の高さといった理由から、Telegram、WhatsApp、Signalなどの暗号化されたメッセージングプラットフォームで行われている可能性が高いと分析している。これらのプラットフォームの多くにはプライバシー保護機能が備わっているため、データ収集の取り組みは大幅に制限される可能性がある。Telegramが主に利用されている理由は、チャンネルやグループの容量が大きく、アカウント作成が簡単で、脅威アクターボットの自動化や悪意のある活動のサポートを活用でき、コンテンツモデレーションが他のプラットフォームよりも一般的に緩いためです。 最も抵抗の少ない経路を提供することで、脅威アクターツーエンド暗号化メッセージングプラットフォームが提供する追加のプライバシーを、業務の遅延なしに享受できます。

金銭を目的とした脅威アクターPII、財務データ、ログイン認証情報、システム アクセス認証情報、エクスプロイトと脆弱性、マルウェア、ランサムウェア、ハッキング チュートリアルなど、さまざまな種類のデータを宣伝することがよくあります。 いくつかの例では、 Insikt Group 、2025 年に脅威アクター顧客関係管理 (CRM) アクセス、ドメイン ユーザー権限とデータベース サーバー上のローカル管理者権限による仮想プライベート ネットワーク (VPN) アクセス、および LAC ベースのエンティティへのコマンド アンド コントロール (C2) アクセスを販売していることを観察しました。 サイバー犯罪者は、この情報へのアクセスを利用して、恐喝未遂、デジタルおよびソーシャルエンジニアリング詐欺、ランサムウェアの展開、データ窃盗、アカウント乗っ取りなどを含む(ただしこれらに限定されない)さらなる犯罪を助長する可能性がある。Insikt Group調査によると、脅威アクター一般的に、侵害したデータベースや決済カードデータを宣伝します。なぜなら、それらは儲かる可能性があり、比較的低いレベルの高度な技術しか必要とせず、他のサイバー犯罪者からも求められているからです。

脅威アクター詐欺、個人情報窃盗、恐喝などに利益をもたらす可能性のある非常に機密性の高いデータが含まれているため、政府システムを標的にすることがよくあります。 例えば、緊迫した総選挙の直後、エクアドルの立法府である国民議会は、機密データへのアクセスと情報サービスの利用を妨害することを目的とした2件のサイバー攻撃を受けたことを報告した。別の例では、脅威アクター何百万ものパラグアイ国民の機密データを暗いウェブ上に公開しました。流出したとされるデータには、国民 ID 番号、生年月日、住所、医療サービス記録などが含まれます。

DarkForumsは、Insikt Groupが2025年にスペイン語とポルトガル語でサイバー犯罪関連の出来事に関する投稿を最も多く記録した主要なダークウェブおよび特別アクセスフォーラムでした。このフォーラムは、英語を話す管理者によって運営されている英語の低レベルフォーラムで、2023年3月に開設され、クリアネットドメイン経由でアクセスできます。さらに、DarkForums が漏洩したデータベースとスペイン語圏諸国を巻き込んだデータ侵入をホストしており、数千件の記録と認証情報の情報漏洩/侵入について説明する投稿が観察されました。 XSS、Exploit、RehubcomPro、Cracked、BreachForums 2、ProCrd、CrdProなどの他のフォーラムも、スペイン語とポルトガル語の投稿が多い上位フォーラムに含まれていた。付録Aには、これらの情報源から抜粋したスペイン語とポルトガル語のフォーラムスレッドのサンプルが掲載されています。

サイバー犯罪者の戦術と攻撃経路

ラテンアメリカ・カリブ海地域では、金銭目的のサイバー犯罪が長年にわたり横行しており、その結果、Insikt Groupはこの分析において、脅威アクターが引き続き金融セクターを重点的に標的にしていることを確認した。脅威アクター通常、電子メール、SMS、WhatsAppメッセージによるフィッシング、金融機関のなりすまし、請求書や支払いの要求など、従来の初期アクセス方法に依存しています。 脅威アクター偽のログイン ページにリダイレクトし、リンクが埋め込まれた悪意のある添付ファイルを含む悪意のあるリンクを介して誘惑を配信します。 これらのTTPsの多くは、LAC地域でビジネスにおいて電子メールやメッセージングアプリケーションに圧倒的に依存していること、およびブランドコミュニケーションに対する一般的な強い信頼があるため、ターゲットとする場合に効果的です。 人工知能(AI)は、ラテンアメリカ・カリブ海地域におけるサイバー犯罪のエコシステムに、より高度な手法をもたらし、脅威アクターの参入障壁を下げ、自動化によって攻撃の規模を大幅に拡大させている。AI脅威アクターネイティブのスペイン語またはポルトガル語で生成できる、より効果的なフィッシングメッセージを作成するのに役立ち、現地のターゲット層にとってより説得力のあるものになります。 エージェント型AIの登場は、サイバー犯罪グループが悪用できる新たな機会と攻撃経路をもたらし、サイバー犯罪サービスを大幅に促進する。組織犯罪グループは、麻薬密輸、資金洗浄、サイバー詐欺、マルウェア開発などを支援するために、AIを自らの活動に組み込んでいる。

Insikt Group 、2025 年を通じて、脅威アクター情報漏洩 / 侵入リモート デスクトップ プロトコル (RDP)、VPN、Web 管理パネルによって LAC 地域をターゲットにし、以前のインフォスティーラー感染、パスワードの再利用、ブルート フォース攻撃、その他の初期アクセス ポイントから情報認証を取得していることを観察しました。 Recorded Future Intelligence Operations Platformのデータに基づくと、ロシアのマーケットプレイスには、LAC関連の認証情報が漏洩した事例が約29,000件存在する。流出した認証情報は、ラテンアメリカ・カリブ海地域(LAC)の5大経済圏における、医療、政府、金融セクターで収益上位に位置する組織に属するドメインからのものです。Russian Market は、インフォスティーラー ログの販売と配布を行う主要なダークウェブ市場の 1 つです。 これらのログのほとんどはLummaC2、次いでAcreed Stealerからのものであり、Insikt Groupが追加の情報窃盗犯ログを調査した結果と一致している。なお、漏洩した29,000件の認証情報の多くは、これらの組織の顧客である可能性が高く、必ずしも従業員のものではないことに留意すべきである。Recorded Futureは、漏洩した認証情報を検索するための社内向け従業員ドメインアドレスにアクセスできないためである。ただし、エンドユーザーがこれらの認証情報を追加することは可能である。Insikt Groupは、これらの攻撃手法がLAC地域の標的システムの侵入に効果的であった可能性が高いと評価している。これは、リモートワークの普及、多くの公共機関における旧式のインフラ、そして監視体制とリソースの不足が原因と考えられる。Insikt Groupは、脅威アクターがTelegramチャンネル上で、カード詐欺ツール、大量SMS/メール送信、SIMスワッピング、ハッキング支援、その他類似のサービスを宣伝していることを確認した。

2025年、Insikt GroupはNFCを積極的に利用・悪用する新型マルウェアの増加を観測した。Threat Fabricによって最初に特定されたPhantomCardは、Androidトロイの木馬であり、特に中国発祥のNFCリレー型マルウェア・アズ・ア・サービス(MaaS)の亜種で、主にブラジルの銀行顧客を標的としている。PhantomCardは、被害者の銀行カードからNFCデータを取得し、それを脅威アクターのデバイスに送信することで、リレー攻撃を可能にします。 攻撃者のデバイスに送信して、POS(販売時点情報管理)システムやATMで取引を実行します。 PhantomCardは、正規のアプリケーションを装った悪意のあるウェブページを介して配布され、被害者にカードをタップして認証のために暗証番号(PIN)を入力するよう促します。認証情報
不正に入手されると、攻撃者に渡されます。同様に、2025 年後半に、脅威アクター、ブラジルのユーザーをターゲットとしたフィッシング キャンペーンで、非接触型決済カードをターゲットとするモバイル マルウェアである RelayNFC を展開しました。 このTTPsの進化は、 決済詐欺のエコシステムにおいて、脅威アクター磁気ストライプデータのスキミングからEuropay、Mastercard、Visa(EMV)チップデータの「シミング」へと移行したことと並行しています。これは、独自のサイバー犯罪ソリューションが通常、新しいセキュリティイノベーションに追随するためです。

Insikt Groupが発表した2025年サイバー犯罪暗号通貨年次活動報告書によると、暗号通貨ウォレットがドレイナー、クリッパー、マイナーなどの様々なマルウェアの標的となり、資金を盗む行為が継続的に確認されている。ラテンアメリカ・カリブ海地域におけるサイバーセキュリティ対策の遅れが依然として続いていること、そして同地域における仮想通貨市場の急速な成長を考慮すると、仮想通貨の利用者はサイバー犯罪者にとって魅力的な標的となる可能性がある。ラテンアメリカ・カリブ海地域において、仮想通貨エコシステムを牽引する上位5カ国は、ブラジル、アルゼンチン、メキシコ、ベネズエラ、コロンビアである。しかし、ブラジルは圧倒的なリーダーであり、仮想通貨取引全体の3分の1を占めている。Insikt Group 、暗号通貨の主流化が進むにつれて、脅威アクターこれらの国々で標的を探す可能性が高いと評価しています。なぜなら、これらの地域のユーザー層の間では、知識やセキュリティ対策が不足している可能性が高いからです。 さらに、世界の他の地域における脅威アクターと同様に、LACを標的とする者たちは、ほぼ間違いなくこの交換手段を利用して不正資金の取引や資金洗浄を行うだろう。各国が新しい規制を採用し、新しい形式の暗号通貨を導入し続ける中、私たちは脅威アクター新たな悪用ベクトルを特定することを期待しています。 2025年現在、アルゼンチン、ブラジル、コロンビア、エクアドル、パラグアイ、トリニダード・トバゴ、ウルグアイ、ベネズエラは、インターポールが新たに発行する「シルバーノーティス」の最初の試験運用段階に参加している。このシルバーノーティスは、「犯罪資産の追跡と回収、国境を越えた組織犯罪との闘い、国際的な警察協力の強化」を目的として発行され、犯罪収益に関連する仮想通貨資産も対象となる可能性が高い。

高度な持続的脅威(APT)とサイバー犯罪

Insikt Groupは、2025年を通して、フィッシングやランサムウェアといった従来型のサイバー犯罪手法を用いて、中南米地域を標的としたAPT(高度標的型攻撃)活動が増加していることを確認した。これは、一部のAPTグループが、戦略的な地政学的影響力の追求以外にも、金銭的な動機を持っている可能性を示唆している。Dark Caracalなどの著名なAPTグループは、金融関連のフィッシング詐欺を通じてサイバー諜報活動を行い、Poco RATを拡散させた。TAG-144 (Blind Eagle) は、主に南米諸国、特にコロンビアの政府機関をターゲットとし、スパイ行為と金銭的動機を組み合わせたキャンペーンでスピアフィッシングやリモート アクセス トロイの木馬 (RAT) などのTTPs使用しました。

Insikt Group 、中国政府が支援する活動の中には、一帯一路構想(BRI)、ソブリンローン、広範な商業的利益など、この地域における経済投資を保護することを目的としているものもあると分析している。 上記の APT グループに加えて、中国の国家支援グループも LAC 諸国のエンティティをターゲットにしています。 TAG-141 (FamousSparrow) は、メキシコ、アルゼンチン、チリのエンティティに対して SparrowDoor マルウェアを利用しました。 Storm-2603(Gold Salem)は、Warlock、LockBit、Babukなどのランサムウェアを展開し、中南米地域(LAC)およびアジア太平洋地域(APAC)の農業、政府、エネルギー・天然資源、通信など、複数の分野を標的とした。この活動は、中国がサイバー犯罪の手段を通じて中南米地域における影響力を維持しようとしている、あるいは金銭的な利益に関心を持っていることを示唆している可能性がある。

ハクティビズム

ラテンアメリカ・カリブ海地域は、経済改革、汚職、不平等に関する議論をきっかけに、複雑な政治的・社会的混乱の時期を繰り返し経験してきた。金銭目的のサイバー犯罪とは異なり、ハクティビズムは政治的またはイデオロギー的な動機に基づくことが多く、こうした緊張した状況はハクティビズムが急増する環境を生み出す可能性がある。2025年後半、Insikt Groupは、主にメキシコの組織を標的とした、セキュリティ上の脆弱性を暴露することを目的とした改ざん攻撃やデータ漏洩で知られるハクティビスト集団、Chronus Teamの活動が活発化していることに気づいた。この脅威グループは、コミュニケーションとプロパガンダのためにTelegramチャンネルを利用している。同グループは、注目を集め、評判を高めるために、Elite 6-27やSociedad Privada 157といった他のハクティビストやサイバー犯罪者グループと緩やかな連携を取っている。Insikt Groupは、複数のハクティビストグループが金銭的利益のためにランサムウェア・アズ・ア・サービス(RaaS)に移行し始めたという別の傾向も確認した。そのようなハクティビストグループの一つである「FiveFamilies」は、複数のグループの集合体として機能しており、彼らの標的となったグループの中には、 キューバやブラジルに拠点を置くグループも含まれていました。

図1 :クロノスチームによるメキシコ・ソノラ州エルモシージョ市の予算透明性ウェブサイトへのハッキングとウェブサイト改ざん(情報源:ソーシャルメディア)

2025年、Insikt Groupは、LAC地域(ラテンアメリカ・カリブ海地域)の組織を標的としたランサムウェア活動の増加を観測した。さらに、バンキング型トロイの木馬もLAC諸国に影響を与える深刻な問題であり続けており、Insikt Groupは、特にWhatsAppを配信手段として利用するキャンペーンが増加していると指摘している。情報窃盗犯は、LAC地域において依然として初期アクセスを可能にする主要な手段として広く利用されている。この地域でボットネットが拡大した主な原因は、セキュリティが脆弱で、ファームウェアが古く、デフォルトの認証情報に依存しているルーターやその他のIoT機器などのSOHO(小規模オフィス/ホームオフィス)機器にある。ボットネットの活動は、認証情報の窃盗、フィッシングキャンペーンの拡散、スパムの配信、住宅用IPアドレスの乗っ取りと悪用、分散型サービス拒否(DDoS)攻撃の実行などにつながる可能性があります。Insikt Groupはまた、2025年にATMおよびPOSマルウェアを用いて決済端末を標的とする脅威アクターの存在も確認した。

ランサムウェア

Recorded FutureのグローバルRansomwareランドスケープダッシュボードによると、2025年には、関連するランサムウェアブログに掲載されているすべての既知のランサムウェア被害者に基づき、世界中で合計7,346件のランサムウェアのうち、LAC地域に影響を与えたランサムウェアは452件記録されました。 LAC 地域のエンティティに対する攻撃は、2025 年の全世界のランサムウェア攻撃の 6% 強を占めました。 図3に示すように、2025年にLAC地域でランサムウェアの影響を最も受けた上位5つの産業は、医療(36件の攻撃)、製造業(49件の攻撃)、政府(28件の攻撃)、情報技術(21件の攻撃)、教育(20件の攻撃)でした。Insikt GroupによるLAC地域のランサムウェアに関する調査は、構成国33か国のうち27か国を対象としています。Insikt Groupは、2025年にアンティグア・バーブーダ、ベリーズ、キューバ、セントクリストファー・ネービス、セントルシア、またはスリナムからランサムウェアのデータを入手していません。

図2:グローバルRansomwareランドスケープダッシュボードビュー(2025年にLACに影響を与える上位5つのランサムウェアグループの攻撃メトリクス)(情報源: Recorded Future )
図3:グローバルRansomwareランドスケープダッシュボードビュー(2025年のLAC地域における上位5つの最も影響を受ける産業の攻撃指標)(情報源: Recorded Future )

Insikt Groupは、中南米地域における主要産業すべてにおいて、前年と比較してランサムウェア攻撃が増加していることを確認した。Insikt Group 、特に LAC 地域全体の金融、政府、医療機関に対するランサムウェア攻撃を調査し、金融部門を標的とした 16 件の攻撃、政府部門を標的とした 28 件の攻撃、医療部門を標的とした 36 件の攻撃を特定しました。 付録Cでは、これらのランサムウェア攻撃の事例をいくつか紹介する。

LAC諸国に関して、2025年にLAC地域でランサムウェアによる被害が最も大きかった上位5カ国は、ブラジル(128件の攻撃)、メキシコ(78件の攻撃)、アルゼンチン(63件の攻撃)、コロンビア(51件の攻撃)、ペルー(27件の攻撃)でした。これらの国々は地域内でも有数の経済規模を誇り、これらの国々や近隣諸国と直接取引を行う企業にとって、波及効果をもたらす可能性がある。Insikt Groupの調査によると、ランサムウェアグループの大多数は二重の恐喝行為を利用している。この恐喝のTTPs被害者のデータを暗号化し、データを抜き取り、身代金が支払われない場合はランサムウェアグループの暴露ブログでデータを公開すると脅迫するというものです。 Recorded Futureネットワーク侵入やランサムウェア攻撃のリスクに基づいて各国を四半期ごとに評価し、リスクに関する意識向上と組織がリスクを評価できるよう支援しています。 Recorded Futureの指標と分析に基づくと、影響を受けた上位5カ国から得られる主な教訓は以下のとおりです。

図 4: グローバルRansomwareウェア状況ダッシュボード:2025年にラテンアメリカ・カリブ海地域で最も影響を受ける国々の概況(情報源: Recorded Future )

バンキングトロイの木馬

グローバル・システム・フォー・モバイル・コミュニケーションズ協会(GSMA)によると、2024年にはラテンアメリカ・カリブ海地域の人口の約64%がモバイルインターネットを利用しており、2030年までにはこの割合が4分の3近くにまで増加すると予測されている。ラテンアメリカ・カリブ海地域におけるインターネット普及率の上昇と携帯電話加入率の高さは、モバイルデバイスへの依存度の高まりを示しており、脅威アクターにとってモバイルデバイスがより魅力的な標的となる可能性が高い。Androidは、南米におけるモバイルデバイスの主要オペレーティングシステム(OS)であり続け、市場シェアは84.59%を占めている。Android端末は、通常より厳格なエコシステム制御を行っているApple iOSよりも、サイドロード可能なアプリケーション(ソーシャルメディアやサードパーティストアからのリンクやAndroidアプリケーションパッケージ[APK])を多くサポートしている可能性があり、またAndroidユーザーは古いOSバージョンを使用している可能性があるため、Android端末はサイバー犯罪者にとって魅力的な標的となる。Androidのエコシステムは、開発者がGoogle Playストアにアプリを掲載する際の自由度が高く、審査や検証プロセスもそれほど厳格ではないため、悪意のあるAPKドメインのミラーサイトが検出されないままになっている可能性がある。LACでは、ユーザーは携帯電話を主要な、あるいは唯一のコンピューティングデバイスとして利用している可能性があり、脅威アクターため、Androidベースのマルウェアを展開するための最初のアクセスポイントとして望ましいものとなっています。 世界銀行の「グローバル・フィンテックス2025」報告書によると、2024年時点でラテンアメリカ・カリブ海地域の成人の37%がモバイルマネー口座を保有していた。この地域では、モバイルバンキング、デジタルウォレット、QRコード決済が一般的だ。世界銀行の調査結果に基づき、 Insikt Group 、LACを標的とした持続的なモバイルバンキングマルウェアは、セキュリティ対策を上回る急速なデジタルバンキングの進展とMaaSエコシステムの拡大によって引き起こされている可能性が高いと評価しています。 高度化された地域密着型のソーシャルエンジニアリング攻撃と、地域ごとの法執行能力の不均衡が、ラテンアメリカ・カリブ海地域における絶えず進化するモバイル金融環境において、この傾向をさらに加速させている。

Insikt Groupの調査によると、2025年にはWhatsAppプラットフォームを標的としたバンキング型トロイの木馬が増加すると予測されている。ブラジル当局は近年、バンキング型トロイの木馬の撲滅に注力している。LAC地域で流通しているマルウェアのかなりの部分はモバイルバンキング型トロイの木馬で構成されているが、多くの点で類似しているものの、それらは単一のものではなく、それぞれ独自の点で異なっている。Insikt Groupの2025年の分析によると、法執行機関による一部の妨害行為にもかかわらず、バンキング型トロイの木馬は依然としてLAC地域で大きな問題であり、2026年もその傾向が続くと予測されている。付録Dでは、 2025年にLAC地域で最も活発に活動するバンキング型トロイの木馬を重点的に取り上げています。

情報窃取型マルウェア

情報窃盗犯は世界中で絶え間ない脅威となっており、中南米地域も例外ではない。Insikt Groupは、ラテンアメリカ・カリブ海地域(LAC)の上位5つの経済圏において、医療、政府、金融セクターの上位組織(収益に基づく)に属するドメインの小規模サンプルを分析した。分析の結果、2025年に観測された最も顕著な情報窃盗脅威は、LummaC2、Vidar、Rhadamanthys、RedLine、およびNexusであることが判明した。これは、オペレーション・エンドゲームの下で行われた複数の法執行機関による作戦で、ラダマンティスルマC2に影響を与える摘発が行われたにもかかわらずのことである。

図 5: 2025年における、LAC(ラテンアメリカ・カリブ海地域)の上位5つの経済大国における、医療、政府、金融セクターの上位組織(収益に基づく)に属するドメインの情報窃盗感染動向(情報源: Recorded Futureデータ)

LummaC2 は、法執行機関の標的となっているにもかかわらず、間違いなく LAC 地域のエンティティをターゲットとした最も活発な情報窃取者でした。 LummaC2は、アルゼンチン、パラグアイ、メキシコのユーザーを標的にしているとして、複数のニュース情報源やTelegramのチャットで話題になっている。 サイバー犯罪者は、被害者の認証情報を入手し、金融詐欺や仮想通貨窃盗を行うために、LummaC2を利用している。Insikt GroupはLummaC2の関連会社に関する調査を実施し、LummaビルドID「re0gvc」に関連付けられた複数の別名で活動する、メキシコを拠点とする可能性のある脅威アクターを特定した。2025年半ば、法執行機関はLummaC2の活動を妨害するための措置を講じた。この作戦により、LummaC2のインフラ、Lummaの中央司令部、および関連する犯罪マーケットプレイスに不可欠な約2,300の悪意のあるドメインが効果的に停止された。この作戦の直後、LummaC2はブラジルやコロンビアを含むいくつかの国で依然として感染者を出していたようだ。これはおそらく、シンクホーリングはトラフィックをリダイレクトするだけで感染したマシンを自動的にクリーンアップするわけではないため、目に見える効果が現れるまでに時間がかかるためだろう。より完全な修復 / 修復 / 改善には、影響を受けたシステムへのパッチ適用とマルウェアの削除が必要となりますが、感染したデバイスが世界中に分散している場合、これを大規模に実施するのは困難です。 しかし、Insikt Groupは、2025年後半にLummaC2によって暴露された認証情報が大幅に減少したことを確認しました。これはおそらく、Microsoftと法執行機関による共同作戦の成功と、主要な脅威アクターがExploitから追放されたことによるものと考えられます。

図 6: LAC地域で経済規模上位5カ国における、医療、政府、金融セクターの上位組織(収益に基づく)に属するドメインにおける、2025年のLummaC2感染動向(情報源: Recorded Futureデータ)

LummaC2作戦の実施後、Recorded Futureは2025年後半にVidarの感染者数が増加したことを検知した。この増加は、脅威アクターが妨害にもかかわらず、情報窃盗犯間を移動して犯罪行為を遂行する能力を持っていることを示している。

図 7: Vidar ラテンアメリカ・カリブ海地域(LAC)の上位5つの経済大国における、医療、政府、金融セクターの上位組織(収益に基づく)に属する分野の2025年の感染動向(情報源: Recorded Futureデータ)

ボットネット

ボットネットの活動はLAC地域で着実に増加しており、金融詐欺、スパム配信、認証情報の窃盗、ランサムウェアの初期アクセス、金融機関や政府機関を標的とした大規模なDDoS攻撃などを可能にしている。ボットネットは、2025年においても国際的な法執行機関にとって引き続き優先事項であった。例えば、現在進行中の「オペレーション・エンドゲーム」は、ランサムウェアやその他のマルウェアのインフラを解体することで、脅威アクターのリモート制御能力を阻害することを目的としている。AISURU としても知られる Kimwolf は、2025 年後半に出現し、情報漏洩 / 侵入ストリーミング デバイスを標的とするボットネットです。 ニュースレポートとダークウェブのチャットは、Kimwolf に感染したデバイスの多くがブラジル、インド、米国、アルゼンチンに拠点を置いていることを示しています。 追加のレポートは、 AISURU ボットネットに関与する脅威アクターブラジルに拠点を置いている可能性があることを示唆しています。 Horabotは、2023年6月に初めて確認されたマルウェアファミリーおよびボットネットの一種で、メキシコ、グアテマラ、コロンビア、ペルー、チリ、アルゼンチンの6つのLAC諸国のスペイン語圏のユーザーを標的としている。Horabotは、請求書を装ったフィッシングメールを利用して、被害者のシステムへの初期アクセス権を取得します。

決済端末マルウェア

脅威アクターもまた、金銭的利益を得るために決済インフラをターゲットにし続けました。 LAC地域ではATMマルウェアの活動が引き続き増加しており、一部の専門家は2025年にはLAC地域全体でATMマルウェア攻撃が46%急増したと指摘している。例えば、Ploutusは2013年にメキシコで初めて検出された高度なマルウェアファミリーで、現金払い出しモジュールに不正なコマンドを発行することでATMに侵入します。 2025年12月、米国司法省は、Ploutusマルウェアを悪用した大規模なATMジャックポット詐欺に関与したとして、ベネズエラのギャング組織Tren de Aragua(TDA)に関係する54人を起訴した。さらに、POS端末に接続されたシステムに侵入し、銀行カードから磁気ストライプ決済データを抽出するように設計されたPOSマルウェア「MajikPOS」は、ブラジルで事業を展開する企業にとって依然として深刻な脅威となっている。

軽減策

今後の展望

Insikt Groupは、2025年に中南米地域全体で観察された最も顕著なサイバー犯罪の傾向と手法を明らかにした。脅威アクター情報漏洩/侵入データとアクセス方法の通信と収益化をダークウェブ フォーラムやエンドツーエンドの暗号化メッセージング プラットフォームに依存することが多く、LAC 組織への初期アクセスを取得および販売するためにフィッシングと認証情報の盗難を行いました。 サイバー犯罪者たちは、医療、政府、金融、その他の重要分野に対し、高度なランサムウェア攻撃を実行した。法執行機関による阻止の試みにもかかわらず、LAC全域でバンキング型トロイの木馬や情報窃盗マルウェアの活動が継続した。サイバー犯罪者は適応力と柔軟性に富んでいることが証明されており、攻撃を防ぐためのスキル、ツール、人材が不足している未成熟または新興企業を狙うことが多い。 ラテンアメリカ・カリブ海地域(LAC)では、中小企業(SME)が全企業の95%以上を占めている。中小企業は、一般的にリソースや専門知識が限られており、強固なインフラが不足し、サードパーティのプラットフォームに過度に依存しているため、サイバー犯罪者にとって魅力的な標的となる。Insikt Groupのトレンド分析もこれらの結果を裏付けている。

サイバーセキュリティ政策とベストプラクティスの地域的な調和がなければ、LAC諸国は今後も断片的なインシデント対応アプローチを使用し続ける可能性が高く、国境を越えた協力と協力は複雑になるだろう。 サイバー脅威に対するシステムと情報の効果的かつ持続可能な保護のために、LAC 諸国は、標準化されたリスク評価とレポートのメカニズム、タイムリーな修復/復旧/改善を強化するための情報共有のプロトコルを確立し、積極的な「安全な設計」原則を実装するために協力することに重点を置くべきである。 これを達成するためのアプローチとしては、人材育成への投資の増加、官民パートナーシップへの参加、集中管理されるサイバーセキュリティ管理システムの確立などが考えられます。 スペイン語やポルトガル語の著名なフォーラムが不足しているにもかかわらず、脅威アクターは英語圏やロシア語圏のサイバー犯罪組織が使用するものと同様の従来型のプラットフォームや手法を引き続き活用する可能性が高い。現在および過去のデータに基づくと、これらの傾向は今後も継続すると予想され、LACは2026年においてもランサムウェアグループにとって人気の標的であり、モバイルマルウェアのホットスポットであり続ける可能性が高い。

付録 A: ダークウェブおよび特別アクセス フォーラム上の LAC 諸国のエンティティをターゲットにした投稿のサンプル リスト

アクセスまたは情報漏洩の疑い
ソース
LAC諸国および影響を受けるセクター
ブラジルの銀行エンティティへのアクセス
XSSフォーラム
ブラジル/金融
コロンビアの銀行へのVPNアクセス
エクスプロイトフォーラム
コロンビア/金融
流出した政府データベースへのアクセス
ダークフォーラム
メキシコ政府
政府公式ポータルへのデータベースアクセス
エクスプロイトフォーラム
アルゼンチン政府
医療従事者向けのルート権限によるWebシェルアクセス
XSSフォーラム
チリ/医療
医療ネットワークへのグローバルVPNアクセス
RehubcomProフォーラム
ブラジル/医療

(出典:Recorded Future)

付録B:2025年にLACに影響を与える上位5つのRansomwareグループのサンプル指標

グループ名
総攻撃回数(全セクター)
ヘルスケア
加工
政府
それ
教育
麒麟(議題)
54
4
6
0
2
2
ロックビットギャング(ビットワイズスパイダー、DEV-0396、フライトィースコーピウス)
29
2
3
1
1
4
セーフペイ
27
2
4
0
0
0
紳士たち
22
3
1
0
0
1
カズ
21
0
0
17
0
2

(出典:Recorded Future)

付録 C: 2025 年に LAC 諸国の医療、政府、金融部門に影響を与えるRansomwareのサンプルデータ

Ransomwareグループ
セクター
セーフペイ
アルゼンチン
ヘルスケア
紳士たち
ブラジル
ヘルスケア
カズ
コロンビア
政府
カズ
メキシコ
政府
麒麟(議題)
エクアドル
ファイナンス
麒麟(議題)
アルゼンチン
ファイナンス

(出典:Recorded Future)

バンキング型トロイの木馬
属性
2026年の活動
Grandoreiro
PDFファイルなど、一見正規の文書に見せかけたフィッシングメールを介して拡散する。デバイスに侵入すると、アンチサンドボックスチェックを実行し、キーストロークを記録し、C2サーバーと通信して機密性の高い銀行認証情報を抜き取ります。
新たな亜種が高度な回避TTPsを備えて出現し、現代のセキュリティ対策を回避する能力をさらに高めている。
Crocodilus
リモートコントロール機能、キーロギング、オーバーレイ攻撃など、高度な戦術を用いてユーザー認証情報を盗み出し、暗号通貨ウォレットのシードフレーズを収集する能力を持つ。
ポーランド、スペイン、ブラジル、アルゼンチン、インドネシア、米国、インドのユーザーをターゲットにすることで、事業範囲を拡大した。
Mispadu (URSA)
高度な感染手法を採用しており、悪意のあるPDFファイルを含むスパムメールが、サンドボックス対策および仮想マシン対策チェックを実行した後、Mispaduペイロードを展開する多段階ダウンロードプロセスをトリガーする。
Insikt Groupは、分析の結果、このトロイの木馬が中南米諸国の複数の銀行を標的にしていたことが判明したため、Mispaduを検出するためのYARAルールを作成した。
アスタロト(ギルドマ)
配布方法には、スピアフィッシング攻撃や、悪意のあるコンテンツをホストするための情報漏洩/侵入クラウド インフラストラクチャの使用が含まれます。 Insikt Groupシグマルールを使用して技術的な静的解析と を実施しました。
WhatsApp セッションのハイジャック、認証情報の盗難、情報漏洩 / 侵入システムへの持続を伴う多段階キャンペーン「STAC3150」で再浮上
SORVEPOTEL
ブラジルを標的とした複数のキャンペーンを実施。Insikt Insikt Group 、分析したパネル内の言語的特徴とブラジル人被害者を一貫して標的にしていることから、SORVEPOTELの運営者の少なくとも一部はポルトガル語話者である可能性が高いと評価。注目すべきキャンペーン「Water Saci」の分析。 WhatsApp Webが配信に使用されたことを示しています
SORVEPOTELローダーに関連する新しいインフラストラクチャの分析により、CoyoteとMaverickが分散していることが示されています。
Casabaneiro (“Mekotio” and “Metamorfo”)
主にLAC地域の金融機関を標的とし、悪意のあるURLを含むフィッシングメールを利用します。これらのURLは、難読化と回避を目的としたPowerShellスクリプトを実行するペイロードを含むZIPアーカイブまたはISOファイルへと誘導します。
Casbaneiro マルウェア ファミリにリンクされた WhatsApp の伝播を介してブラジルの金融プラットフォームをターゲットにした Water Saci キャンペーン
BBTok
LNKファイルを介して感染を引き起こし、ダウンロードしたファイル内にダイナミックリンクライブラリ(DLL)を埋め込んだり、回避のために正規のWindowsユーティリティコマンドを使用したりするなど、認証情報窃盗やデータ漏洩のためのTTPsを発揮する配布方法。
WhatsAppを主な配信手段とする新たなTTPsが出現した。
コヨーテ
主にブラジルのユーザーを標的とし、キーロギング、スクリーンショットのキャプチャ、フィッシングオーバーレイの表示などを実行して機密認証情報を盗み出す能力を持つ。Coyoteのインフラストラクチャは動的で、様々なプラットフォーム上でホストされており、そのオペレーターによる高度な回避TTPsを示している。
Coyoteは2025年も活動を続け、悪意のあるZIPアーカイブを含む自己増殖メッセージを利用したWhatsAppベースのワームキャンペーンで確認された。このメッセージはマルウェアをさらに拡散させるものであった。
ヘロドトス
被害者を悪意のあるAPKのダウンロードに誘い込むスミッシングメッセージを通じて拡散されるHerodotusは、主にブラジルやイタリアなどの国のユーザーを標的にしていることが確認されている。
Insikt Groupは、ブラジルでのキャンペーンにおいて、Herodotusが「Modulo Seguranca Stone」というセキュリティアプリケーションになりすましていた事例を分析した。

(出典:Recorded Future)