今年の4月には数多くのサイバー犯罪者が逮捕されました。ほとんどのケースが金銭の窃盗に直接関連するものです。興味深いことに、犯罪者は1件の盗みで一か八か高額を狙うよりも、数百人のクレジットカード保有者から少しずつ盗むことを好みます。このように、1件1件の被害額が比較的少ないため、罰を受けないことを期待しているのです。しかし、いずれこうした期待が空しいものであることがわかるでしょう。盗んだ額が1,000ドルでも、100万ドルを盗んだのと同じくらい確実に、刑務所で過ごすという報いを受けることになるからです。
21 世紀の海賊
映画では海賊がロマンチックなヒーローとして描かれることもありますが、海賊が得たお金は奪ったものです。これは現在でもあまり変わっていません。スウェーデンで、人気のトレントポータルPirate Bayの共同創設者が告訴されました。今回Gottfrid Svartholm Wargにかかった容疑は、著作権侵害に関するものではなくIBMメインフレームのハッキングです。被害に遭ったメインフレームは、スウェーデン政府にサービスを提供する経理コンサルティング会社Logica Co.が所有するものと、Nordea Bankのものでした。検事のHenrik Olin氏はこれがスウェーデン史上最大のハッキングであると述べています。しかし、4人のサイバー犯罪者が盗んだ金額はわずかなものでした。90万ドル以上の価値のトランザクションを設定したものの、成功したのは1つだけで、4,300ドル相当です。しかし、Logicaから大量の個人情報が盗まれ、その中には社会保険番号や車に関する情報もありました。今のところ、犯罪者らがこの情報を何に使おうと計画していたかを示す確かな証拠はありませんが、こうした情報は闇市場で常に需要が大きいものです。
興味深いことに、Svartholm Wargはこれより前に Pirate Bayの容疑で有罪判決を受けており、起訴を逃れるためカンボジアに逃亡しようとしていました。Wargは2012年9月に逮捕され、スウェーデンへ送還されています。捜査が進むにつれて、Wargの起訴状のページ数は増え続けています。
何百万枚ものクレジットカード
ワシントンDCで、有名な詐欺師に対する訴訟が終わりを迎えました。Vladislav Khorokhorin(30)は、クレジットカード番号を盗んで売却したとして、懲役7年4か月の判決を受けました。米司法省によると、盗んだクレジットカードは文字通り何百万枚にものぼります。ロシア、ウクライナ、イスラエルの国籍を持つKhorokhorinは、データを他の犯罪者に売却しただけでなく、盗んだカードを自分で直接使うこともありました。あるケースでは、クレジットカードのコピーを利用して、ロシアのモスクワにある ATMから12万ドル以上を盗んでいます。米当局は長い間Khorokhorinを追っていましたが、Khorokhorin はモスクワに潜伏しました。2010年にモナコへ向かった際、ニースの空港で拘束されています。Khorokhorin はフランスの拘置所にいたとき、米国への送還に強く抗議し、500万ドル相当の不動産を売却して裁判費用を支払おうとしていました。しかし、そうした抵抗も空しく米国の刑務所への服役という判決が下り、この犯罪者は厳しい現実を突きつけられることとなりました。
人材(?)を抱える国
残念ながら、学生の犯罪は警察にとって珍しいことではありません。ロシアのノボシビルスク州の学術都市アカデムゴロドクで、22歳の学生が逮捕されました。容疑は6枚のクレジットカードについてのデータを購入し、コピーを作成して商品の購入に使用した疑いです。この学生は、外国の銀行が警告を出してカードを停止するまでに、他人の銀行口座から5万ルーブル(1,600ドル)を支払ったとされています。この犯罪は規模や手法、使用された技術にあまり目立った点はありませんが、それでもこの学生は懲役10年を科される可能性があります。しかし、ロシアの裁判所はこうした犯罪に執行猶予付きの判決を下すことが珍しくありません。このことが、サイバー犯罪者がどうにかしてロシアにとどまろうとする理由の1つとなっています。
無防備なストレージの代償は大きい
慈善団体から100万グリブナ(25万ドル)を盗んだとして、あるハッカーがウクライナのセヴァストポリで逮捕されました。この犯罪者は、会計士のPCに悪意のあるアプリケーションを感染させ、システムにリモートアクセスできるようにしたところ、銀行の標準的なルールにもかかわらず、インターネット銀行口座のアクセスパスワードとその一時キーが、誰でもアクセスできるファイルに保存されていたことを発見しました。こうしてハッカーは盗みに必要なものをすべて手に入れたのです。ウクライナ警察はすぐにその口座を凍結してお金を取り戻しました。ウクライナ当局はこの犯罪者が最長で5年の禁固刑に処せられるとしています。
残念ながら、こうした不注意は非常によくあることです。そのため、パスワードを適切に保管することと総合的なセキュリティ製品を使用することの必要性を、もう一度よく考えてみる価値があると言えます。
セキュリティにジョークはありえない
ハッカーグループLulzSecのメンバーは、Sony PlayStation Networkと同社の他のリソースへの有名なハッキングに関与した疑いで、今も裁判を受けています。この事件では約1億人のゲームユーザーが個人情報を盗まれ、Sonyは攻撃後、ゲームネットワークを1か月間閉鎖せざるを得なくなりました。
被告の1人であるCody Andrew Kretzinger(25)は、Sony Picturesに対する比較的小規模なハッキングへの関与で有罪となっています。Kretzingerは1年間の自宅監禁、100時間の社会奉仕活動、60万ドル以上の罰金という判決を受けました。共同被告人のRinaldo Riveireは5月に裁判が予定されており、最長で15年の禁固刑が科されることになります。
ベラルーシのZeus
オンライン銀行へのアクセス情報を盗むために最適化されたマルチコンポーネント型マルウェアのZeusは、ハッカーの間で徐々に時代遅れなものとなっていますが、Zeusを使った犯罪のために、法廷の忙しい時間はもうしばらく続くとみられています。ベラルーシで送検されたある刑事事件では、ミンスク在住の男がこのトロイの木馬を使用して、フランス、イタリア、東ヨーロッパの人々から銀行情報を盗み、口座から資金を奪おうとした容疑で起訴されています。捜査によれば合計で2万ユーロが盗まれました。この事件は法廷で審理される予定ですが、容疑者はすでに逮捕されその資産も差し押さえられています。
ソーシャルエンジニアリング
Zeusには、PCのパスワードだけでなくスマートフォンの一時コードも盗むというハッカーにとって有用な機能がありますが、その実装は非常に複雑で、使用しても成功する保証はありません。その結果、トリヤッチ在住のあるロシア人サイバー犯罪者が、さらに複雑な詐欺を実行しました。この男はCarberpというトロイの木馬を用いてロシアの主要銀行のオンラインバンキングへのログインプロセスに介入し、被害者の電話番号、ログイン情報、パスワードを盗みました。その後、携帯電話会社から被害者のSIMカードの不正なコピーを手に入れ、銀行からのSMS認証を設定することに成功します。この詐欺師は5,000人の詳細情報を入手したものの、現金を盗もうとした試みが成功したケースはこれより少なくなっています。捜査では実際の被害額は明らかになっていませんが、他の情報源によると最大で10億ルーブル(3,400万ドル)にのぼる可能性もあります。
当然ながら、実際にこうした逮捕まで漕ぎ着けるには複合的な捜査が必要になります。これには、マルウェアの分析や、管理サーバーの検索と無効化がありますが、最も重要なのは犯罪者自身を見つけ出すことです。犯罪者らは自分の居場所から遠く離れたところで操作しようと全力を尽くします。幸い、新しいレベルの国際協力によって、こうした複雑な事件でも犯罪者を罰することが可能になります。