ロシアの悪徳レンタルサーバ業者から勧誘された件
ある朝、1通のメールが届きました。 件名は「your cloud cost reduction setup?」。 訳すと「あなたのクラウドコスト削減の仕組み、どうなってます?」くらいのニュアンスです。
これが地味に刺さる件名で。 自分はクラウドのコスト削減を看板の一つにして発信しているので、相手はその看板をそのまま件名に写して投げてきたわけです。
宛名もなかなかでした。 「Hi じゅん - Senior Cloud Infrastructure Engineer,」。 名前と肩書きが、本文の途中でもう一回、机の角にぶつけたみたいに差し込まれている。 「reach out to じゅん - Senior Cloud Infrastructure Engineer directly」。 この差し込み方を見た瞬間に笑ってしまいました。どこかで拾ったプロフィールを、差し込み印刷の変数みたいに機械が流し込んだ跡です。あなただけに書きました、という顔をした量産メール。正体がここに出ています。
添付は1枚のPDF。
Aéza Referral Program.pdf。
開く前から、ちょっと嫌な予感がしていました。 (この予感、だいたい当たる)

そもそも、知らない相手のPDFはなぜ怖いのか
先に言っておくと、PDFは「ただの紙の画像」ではありません。 中にプログラムを仕込めるフォーマットです。
悪意のあるPDFがやってくる経路は、ざっくり3つ。
- 開いた瞬間に自動で走るスクリプトが入っている
- PDFの中に別の実行ファイルが同梱されている
- 「ここをクリック」で外部の罠サイトへ誘導される
なので知らない差出人のPDFは、いきなりダブルクリックしません。 絵として描画させる前に、まずバイト列として何が入っているかを数えます。
PDFを解剖したら、拍子抜けするほど綺麗だった
というわけで中身を数えました。 自動実行の仕掛け、埋め込みファイル、外部への送信フォーム、隠すための暗号化。危ないと相場が決まっている部品を、片っ端から探すわけです。
結果は全部ゼロ。
- 自動実行スクリプト:なし
- 埋め込み実行ファイル:なし
- 外部フォーム送信・埋め込みリンク:なし(クリックできるリンクすら入っていない)
- 暗号化での隠蔽:なし
おまけに、このPDFを作ったツールの名前まで中に残っていました。HTMLをPDFに変換するライブラリの名前です。手作りの営業資料ではなく、HTMLのテンプレートから機械が量産した1枚。大量にばら撒くために自動生成しました、と生成元が自白しているようなものでした。
技術的には、このPDFは置いておいても開いても何も起きません。無害です。
……で、拍子抜けした自分は、ようやく中身の文章を読み始めます。 問題はそこにありました。
中身は「うちの商品を紹介して稼ぎませんか」という勧誘だった
PDFはまるっとアフィリエイト(紹介制度)の勧誘パンフでした。
言っていることはこうです。
- うちのホスティング(サーバー貸し)の紹介リンクを、あなたのオーディエンスに配ってください
- そこから契約した人が使った金額の、最大40%をずっとあなたに払います
- 紹介された側にも初回ボーナスが付くから勧めやすいですよ
- まず掲載料(flat fee)も払うし、独占契約も不要、すぐ始められます
一見、よくあるインフルエンサー向けアフィリエイトです。 コミッション率が強気だな、くらいで流してもおかしくない。
でも、ここで手を止めました。 この「うちのホスティング」って、どこの誰だ?
広告主を調べる。記憶で語らず、一次情報に当てる
会社名に薄っすら聞き覚えがあっても、自分の記憶で断定はしない。 特にセキュリティ絡みは、思い込みが一番危ない。ので、権威のある一次情報に当てにいきました。
差出人は Aéza(Aeza Group)。 メール末尾の署名に、ご丁寧に会社の正式名と住所まで載っていました。 「Aeza International LTD, 347 Barking Road, London, United Kingdom」。
この名前を米国財務省(OFAC)の制裁リストに当てたら、ぴたりと一致しました。
Aeza Group は、2025年7月1日に米国財務省(OFAC)の制裁対象に指定されています。 肩書きは「bulletproof hosting(防弾ホスティング)」の業者。ロシア・サンクトペテルブルクを拠点に、犯罪グループへサーバーを貸していた、というのが指定の理由でした。
防弾ホスティングを噛み砕くと、こうなります。 摘発されにくいように、犯罪者を匿うことを売りにしたサーバー貸し。 普通のレンタルサーバーが「規約違反は止めますよ」なのに対して、こっちは「通報が来ても客を守ります」を商品にしている。
指定理由も具体的でした。
- 情報窃取マルウェア(Meduza / Lumma)やランサムウェア(BianLian)の運用者にサーバーを提供していた
- その標的には米国の防衛関連企業や技術企業まで含まれていた
- 違法な闇市場(ダークネット。BlackSprut という麻薬取引サイト)まで載せていた
- 決済に使っていた暗号資産のウォレット(1つのTRONアドレス)まで指定された。35万ドル超がそこを通っていた
- 制裁逃れ用の海外ペーパー会社(フロント)まで用意されていた。それが署名にあった Aeza International LTD(英国)です
署名にあった会社名そのものが、制裁指定されたフロント企業だったわけです。綺麗なパンフの裏に、犯罪インフラが座っていました。
話には続きがあって、2025年7月の指定のあと、彼らは看板を掛け替えて別会社にインフラを逃がそうとし、2025年11月には米・英・豪の合同で追加指定を食らっています。逃げても追いかけられている相手でした。
出典:米国財務省 Treasury Sanctions Global Bulletproof Hosting Service(2025-07-01) / OFAC Recent Actions 2025-07-01 / 多国間の追加指定(2025-11)
怖かったのはファイルの中身ではなく、そのファイルが差し出してきた役回りの方でした。
「自分にハッキングしろってこと?」いいえ、もっと巧妙です
最初は自分も一瞬ヒヤッとしました。 ランサムウェアだのマルウェアだの並ぶと、「え、攻撃に加担しろって話?」と身構えます。
違いました。 彼らが自分にやらせたい役回りは、攻撃者ではなく営業マンです。
- 自分は紹介リンクを配るだけ
- 契約したお客が使ったお金の何割かが、継続的に自分に入る
やらされるのは送客(お客を連れてくること)だけ。ハッキングは1ミリもしなくていい。
でも、だからこそ毒なんですよね。 連れてくる先が制裁対象の犯罪インフラで、そこへ自分の実名の信用を貸して、集客と課金の導線になる。手は汚れないけど、名前は差し出している。自分の信用を、悪いことの集客に使わせて報酬で釣る。そういう設計です。 制裁で正規の決済ルートを失った防弾ホスティングの、生き残り方の一つなんだと思います。暗号資産で払う・銀行を通さない、を売りにしていたのも、今にして思えば全部その文脈でした。
セキュリティのレビューを仕事の一部にしている立場から、正直に線を引いておきます。 自分の手でコードを書く加担も、名前を貸すだけの加担も、加担は加担です。 むしろ後者のほうが、罪悪感の伝票が回ってこないぶん乗ってしまいやすい。手は汚れてないし、で自分を許せてしまう誘いこそ、いちばん警戒しています。
なぜ、よりによって自分に来たのか
冒頭の件名を思い出してください。「your cloud cost reduction setup?」。 自分の公開プロフィールの看板を、そのまま写したものでした。
技術発信に商業シグナルを載せているんですよね。コスト削減が得意です、相談どうぞ、という導線を自分で出している。良質な相談を呼び込む導線であると同時に、こういう勧誘者にとっても最高の的になる。技術オーディエンスを持っていて、外からの打診を受け付けている人。アフィリエイト勧誘者が一番欲しいプロフィールが、まさにそれです。
公開の技術発信に商業シグナルを載せた瞬間から、良い相談に混じってこういう勧誘も漏斗に流れ込んでくる。止められないなら、雑音として仕分ける仕組みを持つ側に回るしかない、と割り切っています。
学び:ファイルの安全と、送り主の安全は、別々に確かめる
ファイルが無害なことと、その誘いが安全なことは、まったく別の話でした。今回は二正面で確かめています。
- ファイルを静的に見る。自動実行・埋め込み・外部送信を数えて、技術的に無害だと確認した
- 送り主の事業を一次情報で裏取りする。会社名を財務省の制裁リストに当てて、犯罪インフラだと確認した
①だけで「PDFが綺麗だから安心」と乗っていたら、犯罪インフラの営業マンになっていました。②を飛ばして雰囲気で消していたら、なぜ危ないのかを説明できないまま、次のもっと巧妙なやつを取りこぼしていた。マルウェアスキャナはファイルの中身までしか見てくれません。そのファイルが差し出してくる仕事の善悪は、自分で一次情報に当たるしかない。
締め
知らない相手のPDF。嫌な予感。割ってみたら拍子抜けするほど無害でした。でも、その無害な紙が運んできたのは、いちばん乗ってはいけない誘いだった。
無害なファイルほど、危ない誘いを堂々と運んでくることがある。
皆様も、綺麗なパンフが届いたら、ファイルの安全とは別に、一度だけ差出人の事業を調べてみてください。 (たいてい、件名が自分の看板を写している時点で、そこそこ怪しい)