サイバー犯罪者が銀行から盗んだ資金を洗浄する方法

サイバー犯罪者が盗んだお金は、何段階もの手順を経てから犯罪者の懐に入ります。その複雑な過程を解説します。

一部のサイバー犯罪者グループにとって、銀行その他の金融機関への攻撃は、工場での流れ作業のようなものです。盗まれたお金の追跡がほぼ不可能であることは多くの人が知っていますが、その理由を知っている人はそれほど多くありません。BAE Systemsと国際銀行間通信協会(SWIFT)のリサーチャーが共同で発表したレポートでは、盗んだお金をサイバー犯罪者がどのようにマネーロンダリング(資金洗浄)するのか、詳しく説明されています。

お金の出どころと行き先

銀行への攻撃には、インフラと口座を狙う場合と、ATMと関連システムを狙う場合の2通りがあります。お金を引き出してロンダリングする方法にはさまざまなタイプがありますが、どれも本質と目的は同じで、不正に得たお金を合法なお金であるように見せかけることです。

マネーロンダリングは、3段階から成るとされています。

  • Placement(預入):被害者となった人の口座から詐欺師の口座に対して行う最初の送金のこと、または盗んだ資金を預け入れること。
  • Layering(分別):資金の出どころと本来の所有者を隠すために、繰り返し取引を行うこと。
  • Integration(統合):洗浄された資金を、合法または違法な事業へ投資すること。

最終段階の部分(洗浄された資金を再び経済活動に使うこと)は、これだけで記事1本分になりそうなので、ここでは詳しく説明しません。従来の区分けでは上記の3段階ですが、攻撃を成功させるには、資金を盗む時点よりもかなり前から入念に計画を練る必要がある上、盗んだ資金を合法化するための仕組みが整っていなければなりません。これがもう1つ前の段階、「Preparation(準備)」です。

準備

サイバー犯罪者たちは通常、盗んだ資金をすばやく移動できるように、個人所有の口座や合法的な組織が所有する口座をいくつも用意しています。ハッキングされたことに気付いていない人の口座もあれば、自発的に詐欺行為の片棒を担ぐ人々の口座もあります。

後者の人々は「マネーミュール」と呼ばれます。直訳すると「お金を運ぶラバ」です。偽物の書類や盗んだ書類を使って口座を開設させるために、マネーミュールを雇う犯罪者もあります(これは銀行内部に協力者がいないとできません)。「投資の促進」など不明瞭な業務内容をうたう求人が、攻撃者とマネーミュールの接点となる場合もあります。自分がしていることは合法ではないと知りつつ、お金に惑わされるケースが多いようですが、この「共犯者たち」が最終的に裏切られることも多々あります。

預入

サイバー犯罪者は、マルウェアの使用やソーシャルエンジニアリングや、内部関係者の協力によって、盗んだお金を口座へと送金します。ここからがマネーミュールの出番です。マネーミュールは、以下のような形で資金を移動させます。

  • お金の流れを追跡されないように、別の口座に資金を移す。
  • 自宅またはほかの場所を配送先にして、何らかの品物を発注する。
  • ATMからお金を引き出す。

意図せずマネーロンダリングに加担させられる場合もあります。たとえば、国外発送に対応していない店の商品を外国在住の人の代わりに受け取って国際便で発送してあげる業務を請け負っているつもりが、実はマネーミュールとしての仕事だった、という場合です。このような仕事を続けていると、いずれ警察がやってくることになります。

分別

共犯者が商品やお金を受け取ると、犯罪者たちは、長年にわたって確立してきたやり方で略奪品を合法化します。たとえば、盗んだ資金を両替しやすい通貨(通常は米ドル)に換える、買った品物(電子機器であることが多い)を直接販売する、または中古品店に売るなどの方法があります。もちろん、両替所や店舗では不正取引を見破るための対策を講じているはずですが、犯罪者は対策の隙を突いたり、内部協力者の手を借りたりして検知を逃れます。その後、第三者の手によって、お金は首謀者の元へと送られます。

マネーミュールが捕まってその分の利益が減ってしまうこともあるかもしれませんが、利益の大半と首謀者は無傷のままです。

犯罪者たちは次に、宝石や金属の購入(この手の商売では今でも現金取引が好まれることが多い)や、カジノでのチップ売買のような、「古典的な」犯罪の手法で資金を洗浄します。

その後も現金化せずに送金を続ける場合は、世界規模で業務を展開するペーパーカンパニーが使われます。そのような企業は通常、金融取引の管理に厳しくない国や、厳格な法律によって送金の秘密が守られている国に設立されています。資金を分割したり、さまざまな通貨に両替したりしながらさらに送金を繰り返すと、お金の出どころが曖昧になります。必ずしも怪しげな会社が使われるわけではなく、むしろ、ある程度合法な事業を展開する組織が関与します。

最近では、マネーロンダリングに暗号資産(仮想通貨)が使われるようになっています。仮想通貨は個人情報を示さなくても取引ができるので、サイバー犯罪者にとっては魅力です。とはいえ、マネーロンダリングに仮想通貨を使うのは、理想形ではありません。ユーザーの匿名性とブロックチェーンの透明性はセットなので、資金を引き出すには多数の取引が必要になります。たとえば2018年にLazarusグループが仮想通貨取引所をハッキングして3,000万ドルを引き出したときは、さまざまなウォレットの間で、4日間に68回の送金が行われました。

現実的な結論

このように、サイバー犯罪者たちは複雑で複数段階に分かれたマネーロンダリングの仕組みを構築し、口座、企業、法的形式、通貨、そして司法を不正に操ってきました。ロンダリングは数日のうちに行われるので、攻撃を受けていることに企業が気付かない場合もあります。

したがって、銀行が自ら事に当たり、財務システムがハッキングや乗っ取りを受けるリスクをできるだけ抑制するサイバーセキュリティのインフラを構築するのは当然の流れです。Kasperskyは、銀行やその他金融機関に特化したソリューション、Kaspersky Fraud Preventionをご用意しています。Kaspersky Fraud Preventionは、ふるまい分析や金融取引監視の機能だけでなく、お客様の組織(銀行あるいは金融機関)を通じた資金のロンダリングを追跡する機能を備えています。詳細は、同ソリューションのページをご覧ください

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?