サイバー犯罪者に下された判決

2013年4月27日

今年の 4 月には数多くのサイバー犯罪者が逮捕されました。ほとんどのケースが金銭の窃盗に直接関連するものです。興味深いことに、犯罪者は 1 件の盗みで一か八か高額を狙うよりも、数百人のクレジットカード保有者から少しずつ盗むことを好みます。このように、1 件1 件の被害額が比較的少ないため、罰を受けないことを期待しているのです。しかし、いずれこうした期待が空しいものであることがわかるでしょう。盗んだ額が 1000 ドルでも、100 万ドルを盗んだのと同じくらい確実に、刑務所で過ごすという報いを受けることになるからです。

top5判例-title

21 世紀の海賊
映画では海賊がロマンチックなヒーローとして描かれることもありますが、海賊が得たお金は奪ったものです。これは現在でもあまり変わっていません。スウェーデンで、人気のトレントポータル Pirate Bay の共同創設者が告訴されました。今回 Gottfrid Svartholm Warg にかかった容疑は、著作権侵害に関するものではなくIBM メインフレームのハッキングです。被害に遭ったメインフレームは、スウェーデン政府にサービスを提供する経理コンサルティング会社 Logica Co. が所有するものと、Nordea Bank のものでした。検事の Henrik Olin 氏はこれがスウェーデン史上最大のハッキングであると述べています。しかし、4 人のサイバー犯罪者が盗んだ金額はわずかなものでした。90 万ドル以上の価値のトランザクションを設定したものの、成功したのは 1 つだけで、4300 ドル相当です。しかし、Logica から大量の個人情報が盗まれ、その中には社会保険番号や車に関する情報もありました。今のところ、犯罪者らがこの情報を何に使おうと計画していたかを示す確かな証拠はありませんが、こうした情報は闇市場で常に需要が大きいものです。

興味深いことに、Svartholm Warg はこれより前に Pirate Bay の容疑で有罪判決を受けており、起訴を逃れるためカンボジアに逃亡しようとしていました。Warg は 2012 年 9 月に逮捕され、スウェーデンへ送還されています。捜査が進むにつれて、Warg の起訴状のページ数は増え続けています。

何百万枚ものクレジットカード
ワシントン DC で、有名な詐欺師に対する訴訟が終わりを迎えました。Vladislav Khorokhorin(30)は、クレジットカード番号を盗んで売却したとして、懲役 7 年 4 か月の判決を受けました。米司法省によると、盗んだクレジットカードは文字通り何百万枚にものぼります。ロシア、ウクライナ、イスラエルの国籍を持つ Khorokhorin は、データを他の犯罪者に売却しただけでなく、盗んだカードを自分で直接使うこともありました。あるケースでは、クレジットカードのコピーを利用して、ロシアのモスクワにある ATM から 12 万ドル以上を盗んでいます。米当局は長い間 Khorokhorin を追っていましたが、Khorokhorin はモスクワに潜伏しました。2010 年にモナコへ向かった際、ニースの空港で拘束されています。Khorokhorin はフランスの拘置所にいたとき、米国への送還に強く抗議し、500 万ドル相当の不動産を売却して裁判費用を支払おうとしていました。しかし、そうした抵抗も空しく米国の刑務所への服役という判決が下り、この犯罪者は厳しい現実を突きつけられることとなりました。

人材(?)を抱える国
残念ながら、学生の犯罪は警察にとって珍しいことではありません。ロシアのノボシビルスク州の学術都市アカデムゴロドクで、22 歳の学生が逮捕されました。容疑は 6 枚のクレジットカードについてのデータを購入し、コピーを作成して商品の購入に使用した疑いです。この学生は、外国の銀行が警告を出してカードを停止するまでに、他人の銀行口座から 5 万ルーブル(1600 ドル)を支払ったとされています。この犯罪は規模や手法、使用された技術にあまり目立った点はありませんが、それでもこの学生は懲役 10 年を科される可能性があります。しかし、ロシアの裁判所はこうした犯罪に執行猶予付きの判決を下すことが珍しくありません。このことが、サイバー犯罪者がどうにかしてロシアにとどまろうとする理由の 1 つとなっています。

無防備なストレージの代償は大きい
慈善団体から 100 万グリブナ(25 万ドル)を盗んだとして、あるハッカーがウクライナのセヴァストポリで逮捕されました。この犯罪者は、会計士の PC に悪意のあるアプリケーションを感染させ、システムにリモートアクセスできるようにしたところ、銀行の標準的なルールにもかかわらず、インターネット銀行口座のアクセスパスワードとその一時キーが、誰でもアクセスできるファイルに保存されていたことを発見しました。こうしてハッカーは盗みに必要なものをすべて手に入れたのです。ウクライナ警察はすぐにその口座を凍結してお金を取り戻しました。ウクライナ当局はこの犯罪者が最長で 5 年の禁固刑に処せられるとしています。

残念ながら、こうした不注意は非常によくあることです。そのため、パスワードを適切に保管することと総合的なアンチウイルスソリューションを使用することの必要性を、もう一度よく考えてみる価値があると言えます。

セキュリティにジョークはありえない
ハッカーグループ LulzSec のメンバーは、Sony の PlayStation Network と同社の他のリソースへの有名なハッキングに関与した疑いで、今も裁判を受けています。この事件では約 1 億人のゲームユーザーが個人情報を盗まれ、Sony は攻撃後、ゲームネットワークを 1 か月間閉鎖せざるを得なくなりました。

被告の 1 人である Cody Andrew Kretzinger(25)は、Sony Pictures に対する比較的小規模なハッキングへの関与で有罪となっています。Kretzinger は 1 年間の自宅監禁、100 時間の社会奉仕活動、60 万ドル以上の罰金という判決を受けました。共同被告人の Rinaldo Riveire は 5 月に裁判が予定されており、最長で 15 年の禁固刑が科されることになります。

ベラルーシの Zeus
オンライン銀行へのアクセス情報を盗むために最適化されたマルチコンポーネント Zeus マルウェアは、ハッカーの間で徐々に時代遅れなものとなっていますが、Zeus を使った犯罪のために、法廷の忙しい時間はもうしばらく続くとみられています。ベラルーシで送検されたある刑事事件では、ミンスク在住の男がこのトロイの木馬を使用して、フランス、イタリア、東ヨーロッパの人々から銀行情報を盗み、口座から資金を奪おうとした容疑で起訴されています。捜査によれば合計で 2 万ユーロが盗まれました。この事件は法廷で審理される予定ですが、容疑者はすでに逮捕されその資産も差し押さえられています。

ソーシャルエンジニア
Zeus には、PC のパスワードだけでなくスマートフォンの一時コードも盗むというハッカーにとって有用な機能がありますが、その実装は非常に複雑で、使用しても成功する保証はありません。その結果、トリヤッチ在住のあるロシア人サイバー犯罪者が、さらに複雑な詐欺を実行しました。この男は Carberp というトロイの木馬を用いてロシアの主要銀行のオンラインバンキングへのログインプロセスに介入し、被害者の電話番号、ログイン情報、パスワードを盗みました。その後、携帯電話会社から被害者の SIM カードの不正なコピーを手に入れ、銀行からの SMS 認証を設定することに成功します。この詐欺師は 5000 人の詳細情報を入手したものの、現金を盗もうとした試みが成功したケースはこれより少なくなっています。捜査では実際の被害額は明らかになっていませんが、他の情報源によると最大で 10 億ルーブル(3400 万ドル)にのぼる可能性もあります。

当然ながら、実際にこうした逮捕まで漕ぎ着けるには複合的な捜査が必要になります。これには、マルウェアの分析や、管理サーバーの検索と無効化がありますが、最も重要なのは犯罪者自身を見つけ出すことです。犯罪者らは自分の居場所から遠く離れたところで操作しようと全力を尽くします。幸い、新しいレベルの国際協力によって、こうした複雑な事件でも犯罪者を罰することが可能になります。