米国連邦司法省やロンドン警視庁が“Zeus Trojan”の大規模国際銀行口座サイバー詐欺犯を起訴

　
　去る8月28日付けの本ブログで、筆者は「米国『スケアウェア詐欺』に見る国際詐欺グループ起訴と国際犯罪の起訴・裁判の難しさ」を取り上げた。
　9月30日、連邦司法省ニューヨーク南部地区連邦検事局、ニューヨーク郡地方検事局(District Attorney for New York County)、FBIニューヨーク事務所(field office of FBI)等はオンライン・バンキングにおける銀行の機密取引情報を盗み、ACH(筆者注1)と電子通信詐欺(Wire Fraud)を介し、世界中に数百万ドルの被害を引き起こした詐欺グループ37人を逮捕し旨リリースした。

　犯人グループはキー・ロガーを利用したマルウェア“Zeus Trojan”(筆者注2)を利用していた。

　一方、英国では9月29日にロンドン警視庁(MPS)のサイバー犯罪特別捜査チーム(PCeU)(筆者注3)が、数千人の銀行顧客口座から最高600万ポンド(約7億6,200万円)以上を盗取した罪で東欧出身者19人を逮捕した旨発表した。
　犯罪者グループはマルウェア“Zeus Trojan”を利用し、オンラインバンキングにかかるログオン情報を盗取したうえ、無権限アクセスを行い犯罪組織が管理する海外の口座に送金した。その手先になったのが違法な海外への資金の送金請負人“Money Mules”であった。

　特に海外メディアはコメントしていないが、これら犯罪者たちの年令に注目して欲しい。米国の場合ほとんどが20歳前後である。また英国の場合、20歳代後半から30歳代前半である。彼らが何ゆえこれらの犯罪に引き込まれたのか、どのような国際犯罪組織が暗躍しているのか。英国の起訴犯人グループは年令が米国より上（20歳代後半）であるが、その多くは失業者である。

　本文を読まれると理解できると思うが、経済的に恵まれない東欧諸国の若者を巻き込んだ詐欺犯罪として従来のサイバー犯罪の類型とは異なる手口である。
　仮に彼らが有罪と判断させたときの最高刑はあまりにも重い気がするが、これが世界の現実である。さらにいえば、わが国の若者がこの手の犯罪グループに安易に巻き込まれない保証はない。
経済の低迷が続くわが国でも「他山の山」とすべき事例であろう。(筆者注4)

　また、英国のサイバー犯罪対策組織の最新情報やその国家としての取組方針・施策についてわが国では詳しく論じたものがなく、今回あらためてまとめた。参考サイトの内容は今後のわが国の関係機関の研究課題につながろう。

　筆者が本ブログでもしばしば取上げてきた米国が意図しているのはSWIFT(国際銀行間通信協会)を介した国際テロ資金の流れの追跡だけでなく、今回のような違法な国際詐欺グループの追跡にこだわる背景の1つとして、これらサイバー犯罪にかかる捜査のためにも重要な点であることが理解できよう。

　なお、今回はその詳細は略すが、2010年7月28日にセキュリティ調査会社“Secure Works”がロシアを本拠とする国際犯罪組織、“botnets”、“Virtual Private Network”(筆者注5)“Zeus Trojan”の異種、オンラインの“Money Mules”役の募集広告、偽造小切手ネットワーク等まさにサイバー金融犯罪の最新形態の分析結果を公表している(被害総額は最大900万ドル(約7億5,600万円))。このレポートは関係国の法執行機関との協同作業に基づきまとめられたものであるが、この種のレポートにはない具体性がある（その内容の専門性から見て筆者の領域を越えることから目下関係専門家に相談中である）。“Secure Works”のZeusの銀行システムに与える影響解析レポート（Zeus Trojanの闇相場等）(2010年3月11日)もある。

Ⅰ.米国のサイバー犯罪手口と犯罪組織
１．連邦司法省ニューヨーク南部地区連邦検事局、ニューヨーク郡地方検事局、FBIニューヨーク事務所(field office of FBI)等の共同リリースの概要

(1)犯罪の手口
　9月30日、公開されたマンハッタン連邦地方裁判所に提訴した訴状によると、今回のサイバー攻撃は、東欧で始まり「Zeus Trojan」として知られているマルウェアの使用を含んでいた。(マルウェアは、通常明らかに親切心からでたメールとして合衆国の中小企業や自治体(municipalities)のコンピュータに送られた)。 メールがいったん開かれると、マルウェアは犠牲者のコンピュータにそれ自体を埋め込み、被害者のキー・ストローク(オンラインで自己の銀行口座にログインしながら、それらの口座番号、パスワードおよび他の重要なセキュリティコードを含む) を記録した。 マルウェアを管理するハッカーは、次に犠牲者の銀行口座を引き継ぐ目的で盗んだ金融取引情報を使用して、共謀者が管理する口座に対し1回に何千ドルもの無権限海外向け資金送金を行った。

　盗んだマルウェア攻撃の売上金を海外に送金するかまたは振り込むための役割を担う「Money Mules組織」によって準備された。同計画を実行に移すため、「Money Mules組織」は学生用ビザで合衆国に入った個人を取り込み、あるいは偽の外国パスポートをそれらに提供して、米国の銀行で偽名口座を開くよう彼らに命令した。

　これらの偽名口座がいったん口座が開設されるとマルウェア攻撃で危険にさらされた口座から盗んだ資金を受け取ると、「Money Mules」は不正に入手した大量の現金の大部分を海外にある他の口座に振り込むか、引き出しまたは海外に送金するよう命令された。

(2)捜査活動
　マンハッタン連邦地方裁判所に告訴された被告には、(1)「Money Mules組織の管理者や人集め担当者、(2)money mulesのための偽海外パスポートを取得担当者が含まれる(連邦司法省のリリース文では“passports for the mules, and money mules.”の部分が抜けていた)。

　協調的な操作活動の一環として、連邦および地元の法執行官吏は、9月30日早朝に10人の被告を逮捕したが、別の10名はすでに逮捕していた。 同日午後にマンハッタン連邦裁判所に今日ニューヨークで拘留されている被告が現れると予想される。 17人の被告はニューヨークと海外でなお捜査中である。

2．起訴内容の一覧
　連邦司法省やFBIの9月30日のリリースは、次の様式で裁判ケース名や被告の氏名、年令、犯罪名(適用法)、有罪時の最高刑ごとに一覧を作成している。ここですべてを網羅することは省略するが、専門外の読者のために犯罪名と最高刑罰については簡単に補足する。

(1)United States v. Artem Tsygankov, et al. (10 Mag. 2126)
被告名 　　　　　 　年令
ARTEM TSYGANKOV 22
SOFIA DIKOVA 20
MAXIM PANFEROV 23
KRISTINA IZVEKOVA 22

Ct ：犯罪名 ： 被告 ： 有罪時の最高刑罰
1 Conspiracy to Commit Bank Fraud ARTEM TSYGANKOV, SOFIA DIKOVA, MAXIM PANFEROV, KRISTINA IZVEKOVA 30 years in prison; fine of $1,000,000 or twice the gross gain or loss; and restitution
2 Conspiracy to Possess False Identification Documents ARTEM TSYGANKOV, SOFIA DIKOVA, MAXIM PANFEROV, KRISTINA IZVEKOVA 15 years in prison; fine of $250,000 or twice the gross gain or loss; and restitution
3 False Use of Passport MAXIM PANFEROV 10 years in prison; fine of $250,000 or twice the gross gain or loss; and restitution
4 False Use of Passport KRISTINA IZVEKOVA 10 years in prison; fine of $250,000 or twice the gross gain or loss; and restitution

①銀行に対する詐欺罪の共謀罪(Conspiracy to Commit Bank Fraud):18 U.S.C. §§ 1349,1344 and 2
②偽の本人確認文書の所有罪(False Identification Documents)：18 U.S.C. §1028
③パスポートの偽造または悪用罪(Forgery or false use of passport)：18 U.S.C §1543
④マネー・ローンダリング罪(Money Laundering)：18 U.S.C § 1956
または18 U.S.C § 1957
⑤偽の本人確認文書の譲渡罪(Transfer of False Identification Documents)：
18 U.S.C. §1028　
⑥偽の本人確認文書の作成罪(Production of False Identification Documents)：18 U.S.C. §1028　
⑦偽の入国管理文書の所有(Possession of False Immigration Documents)：
18 U.S.C § 1546

(2) United States v. Artem Semenov, et al. (10 Mag. 2154)
(3) United States v. Maxim Miroshnichenko, et al. (10 Mag. 2141)
(4) United States v. Marina Oprea, et al. (10 Mag. 2142)
(5) United States v. Kristina Svechinskaya, et al. (10 Mag. 2137)
(6) United States v. Margarita Pakhomova, et al. (10 Mag. 2136)
(7) United States v. Ilyya Karasev, et al. (10 Mag. 2127)
(8) United States v. Marina Misyura, et al. (10 Mag. 2125)
(9) United States v. Nikolai Garfulin, et al. (10 Mag. 2138)
(10) United States v. Dorin Codreanu, et al. (10 Mag. 2152)
(11) United States v. Victoria Opinca, et al. (10 Mag. 2153)
(12) United States v. Alexander Kireev, et al. (10 Mag. 1356)
(13) United States v. Kasum Adigyuzelov, et al. (10 Mag. 1622)
(14) United States v. Sabina Rafikova, et al. (10 Mag. 1623)
(15) United States v. Konstantin Akobirov, et al. (10 Mag. 1659)
(16) United States v.Adel Gataullin , et al. (10 Mag. 1680)
(17) United States v. Ruslan Kovtanyuk, et al. (10 Mag. 1827)
(18) United States v.Yulia Klepikova , et al. (10 Mag. 1753)
(19) United States v.Alexande Sorokin , et al. (10 Cr.437(RWS))
(20) United States v. Alexander fedorov, et al. (10 Cr.873(KTD))
(21) United States v.Anton Yuferisyn , et al. (10 Cr.134(JGK))
(22) United States v.Jamal Beyrouti , et al. (10 Mag.2134)


Ⅱ.　英国のZeus Trojan犯罪グループの大量逮捕
　2010年9月日午前0時までとする英国ロンドン警視庁の差止リリース記事（現時点では見れない）に基づき事件の概要を紹介する。

　今回逮捕された19人はロンドン警視庁のPCeUにより9月28日に一斉逮捕されたもので、予め入念に計画されたハイテク犯罪で英国の銀行口座から数百万ポンドを盗取したものである。PCeUの捜査員は9月28日の5時から6時の間に23歳から47歳にわたる19人（男性15人、女性4人）を逮捕した。

　容疑者は「1990年コンピュータの不正使用に関する法律(the Computer Misuse Act of 1990)」、 「2002年犯罪収益没収法(Proceeds of Crime Act of 2002：c29)」および「2006年詐欺法(Fraud Actof 2006)」容疑で逮捕、取調べ中である。逮捕された者のうち2人は違法銃器所持容疑でも逮捕されている。

　今回の事件で多くの世界の主要銀行がこの3か月間顧客のオンライン口座をのっとられ、かつ資金を盗まれた。英国内で調査している600万ポンドの被害金額については今後さらに増額するかもしれない。

　銀行口座の無権限ログオンするためのデータの詳細を盗み取る極めて効率的なマルウェアとされる“ZeuS”(Zeus Trojan)により損害を被った英国民は数千人と想定される。

　全英警察本部長・部長会の“Virtual Task Force”(筆者注6)議長のマーチン・ミューアヘッド(Martin Muirhead)は次のコメントを行っている。「今回のサイバー犯罪グループの大量逮捕は、イギリスでどのように複数の政府機関と公的・民間の機能人材情報資源と専門的技術を生かすかに関する好例といえる。PCeUにとって導かれた先導的仕事といえる。」

　マルウェア“Zeus Trojan”は、世界中のサイバー犯罪者によってインターネットの安全使用に対する大きな脅威を引き起こして、ますますその使用の可能性は拡がっている。今回の事件に限られないことに留意すべきである。

Ⅲ.SMSに拡がる”Zeus Trojan”　
　“Zeus Trojan”のマルウェアとしての最大の問題点は容易に異種が作成されることである。専門的な解説は略すが米国のセキュリティ専門サイトでは9月29日にモバイルバンキングで使用されるテキストメッセージの交換のデータ(SMS)(筆者注7)を盗取する“Zeus Trojan”が検出されたニュースが報じられている。欧州のモバイルバンキングの本人確認で使用される「取引認証番号(Transaction Authentication Number: TAN)」は伝統的なユーザー名やパスワードと同様、金融取引の認証要素として使用されている。

　具体的な犯行の手口は目下関係機関が分析中であるが、“man-in-the mobile”攻撃には次のステップがあると解析されている。

①まず、ユーザーのPCが“Zeus Trojan”に感染される。その結果、被害者はユーザー名やパスワードを盗取される。
②違法なアプリケーションがモバイルフォンにインストール、感染するとSMSを介してサイバー詐欺師(cybercrooks)は情報検索する。
③次に詐欺師はすでに得た機微情報に基づき、銀行のウェブログにログインしTANを必要とする取引を実行する。
④銀行は自動的にモバイル端末宛にTANを含むSMSを送信する。
⑤モバイル内にすでに存するマルウェアにより、詐欺師が管理するサーバーにテキストメッセージを転送することで当該違法取引は完了する。

　わが国のSMSは国際的な互換性がないことが幸いか？

（筆者注1）ACHは、 米国の連邦準備銀行(FRB)等によって運用され、銀行間の資金決済を電子的に行う決済システムである。給与振込、公共料金の支払いの他、利息や配当金の自動振込や自動引落、財務省が依頼人となる社会保障給付金等の受給資格付与プログラムに基づく給付等に利用されている(2007年10月14日付け本ブログ(筆者注8)参照)。

(筆者注2)シマンテックのサイトで“Zeus Trojan”の解説を引用しておく。なお、英語の資料からの直訳らしく、訳語はこなれていないため専門家でも読みにくい文章であるが一応参考にはなるので引用する（疑問に思う訳語には「？」をつけておいた）。
「 感染：Trojan.Zbot (別名 Zeus) は、侵入先のコンピュータから機密情報を盗み取ろうと試みるトロイの木馬です。また、インターネットから設定ファイルや更新ファイルをダウンロードする可能性があります。このトロイの木馬は、トロイの木馬作成用ツールキットを使って作成されます。・・このトロイの木馬自体は、主にスパム送信とドライブバイダウンロードを介して配布されますが、汎用性を考慮すると他の手段が利用される可能性もあります。ユーザーは、FDIC(連邦預金保険公社：米国金融監督機関)、IRS(米国連邦財務省連邦税課税庁)、MySpace、Facebook、またはマイクロソフトなどの組織(？)から送信されたように見える電子メールメッセージを受信する可能性があります。このメッセージは、ユーザーの金銭(？)情報、オンラインアカウント、またはソフトウェアに関する問題を警告して、電子メールで案内するリンク先を訪問するように促します。

機能：このトロイの木馬は、主に侵入先のコンピュータから機密情報を盗み取ることを目的として設計されました。特に、システム情報、オンライン資格(？)情報、銀行取引の詳細などがターゲットとなりますが、ツールキットを使ってカスタマイズすることで、どのような種類の情報でも収集することができます。・・・機密情報は、さまざまな方法で収集されます。このトロイの木馬が実行されると、Protected Storage (PStore) に格納されている Internet Explorer、FTP、POP3 に関連するパスワードを自動的に収集します。最も効率的な情報収集の手段として、設定ファイルで指定された Web サイトを監視し、タイミングを見計らって正規の Web ページを遮断して追加フィールドを挿入する（ユーザー名とパスワードの入力だけを要求するバンキングサイトに、生年月日を入力させるフィールドを追加するなど）という方法が使われます。・・・」
シマンテック「セキュリティレスポンス：Trojan.Zbot　危険度 2: 低」から引用。なお、この文章では米国FDIC、IRSについては説明部分がもれているので筆者が補筆した。

(筆者注3)ロンドン警視庁の“Police Central e-crime Unit(PCeU)”について、わが国では正確に説明したものがない。
　この機会に、同ユニットのサイト等に基づき「任務記述書( Mission Statement)」やその具体的な任務内容について説明する。

(1) 任務記述書の概要
　イングランド、ウェールズおよび北アイルランドにまたがる警察の能力を育成することによりサイバー犯罪の犠牲者への警察の対応を改善するため、警察サービスのあらゆるタイプのサイバー犯罪の法施行体制を整備、さらに最も重大なサイバー犯罪事件に対し国家としての捜査能力を提供する。

(2)同ユニットの具体的付託任務(remit)
①内務省(Home Office)、ロンドン市警察(City of London Police)、重大組織犯罪対策機構（Serious Organised Crime Agency:SOCA）等他の犯罪取締機関、政府機関との共同作業により、違法なIT情報犯罪に結びつくサイバー犯罪に対する高度な専門的情報の分析ならびに開発
②サイバー犯罪の壊滅を導くための情報収集
③サイバー犯罪に関する警察、政府および産業界との協同ネットワークの開発と維持
④政府の各省庁、産業界の協力者、アカデミー研究者および公益団体などを含む利害関係者との情報や機密情報の交換
⑤産業界および一般市民へのサイバー犯罪に関する教育と予防手段に関する助言
⑥サイバー犯罪に関するトレーニングの標準化、手順および対応の促進
⑦サーバー犯罪の脅威と脆弱性に関する産業界の協力者、政府機関およびアカデミー研究者との協同研究作業に基づく研究と助言
⑧同ユニットは捜査機関の重要経済詐欺事件の判断基準(Case Acceptance Criteria ：捜査実施要件を定め、その犯罪要件の「すべて」、「1つ以上」、「2つ以上」等の充足程度によって犯罪事件として捜査を行うべきか否かを決める基準)に該当する重要犯罪であるか否かの調査を行う。
⑨最も重大な犯罪事件として次のような事件に責任をもって取組む
・コンピュータシステムへの侵入(computer intrusion)
・悪意あるコード(malicious code：情報システムが提供するサービスを妨害するプログラムの総称で、たとえば「コンピューターウイルス」、「ワーム」、「バックドア」、「キーロガー」等をさす)違法な配分
・DOS攻撃
・インターネットを介して可能となる詐欺犯罪(internet-enabled fraud)

PCeUの付託任務事項として、次の事項は明らかに除くものとする。
・サーバー犯罪に関する定期的な報告
・英国詐欺取締庁(National Fraud Authority：NFA)が運用・管理する「英国詐欺報告センター(National Fraud Reporting Centre)」に関するプロジェクト
・子供の搾取およびオンライン保護センター(Child Exploitation and Online Protection
Centre：CEOP)の付託事項

(3)“PCeU”の各チームの内容
　①運用チーム、②情報活動チーム、③パートナーシップ開発チーム、④協同･コミュニケーションチーム、⑤犯罪阻止対策チーム

　なお、現在の英国サイバー犯罪プログラムの内容を参考までに挙げておく。
①ACPO サイバー犯罪戦略、②英国サイバー犯罪プログラムの構造、③コンピュータを基礎とする電子証拠のための優れた実践ガイド、④サイバー犯罪捜査管理者向けガイド
　特に、③についてはわが国においても参考とすべき点が多々あると思う。時間をかけて分析したい。

(筆者注4)筆者の手元に、オーストラリア大使館広報文化部よりオーストラリア政府の外交、政策に焦点をあてた最新情報を届けるニュースレター 「Headline Australia 最新号」が届いた。その中に次のようなレポートがあった。誤訳らしき問題のある訳語もあるが、世界の若者の現実を理解する意味で、そのまま引用する。

「世界の若者ホームレスたち
オーストラリアはメルボルンで5月17日から20日まで開かれたINSP(国際ストリートペーパーネットワーク)の年次会議には、大陸を超えて27カ国から70人の参加者が集った。ブラジルから参加した『オカス』誌の編集者ロジは、「ここに来るのに30時間もかかったわ」と笑う。今回特に各国代表に聞きたかったのは、世界の若者ホームレスの状況だった。「ビッグイシュー日本」では、リーマンショック後30~40代で「販売者になりたい」と事務所を訪れる人が急増している。今年7月に創刊を予定している『ビッグイシュー・韓国』誌のナラは語る。「韓国でも、若者のホームレス化が問題になっています。彼らに『自分がホームレスだ』という自覚はないけれど、インターネットカフェに泊まり続けていたりする。その大半は競争社会の韓国に疲れきった若者たちです。最近では、韓国版ワーキングプアも増え、『88万ウォン世代(いくら働いても月収が約7万円に満たない世代)』という言葉もできました」オランダの『ストラートニュース』紙のフランクも語る。「オランダでも若いホームレスはいるけれど、彼らは“透明人間”のようなものだよ。誰もその存在を把握していない。それで、彼らが人々の目に“見える”ようになるのは、犯罪を起こして“犯罪者”になった時なんだ」そんな社会から疎外されたホームレス状態の若者たちのためのプロジェクトが、世界で始まっている。例えば、カナダはモントリオールの『L’ltineraire』誌のサージュは、6カ月に及ぶビデオプロジェクトを立ち上げた。「ネガティブな経験しかもちあわせていない彼らには、自尊心がありません。だから、6カ月のプロジェクトを通して、自信を取り戻してほしいんです」。今、プロジェクトには、12歳で学校をドロップアウトをした若者をはじめ、16人が映画の作り方を学んでいる。ホームレス状態に落ちるしかない若者たちをいかに未然にくい止め、再び社会に包み込んでいくのか？ ランチや休憩の時間にも、熱い議論は尽きなかった。」

(筆者注5) “Virtual Private Network (VPN)”または「 仮想プライベートネットワーク」とは 通信相手の固定された専用通信回線（専用線）の代わりに多数の加入者で帯域共用する通信網を利用し、LAN間などを接続する技術もしくは電気通信事業者のサービスをいう。(Wikipediaから引用)

(筆者注6) 英国警察本部長・部長(The Association of Chief Police Officers ：ACPO) は、スコットランドを除くイングランド、ウェールズ、北アイルランドの全警察の本部長等からなる独立かつ自主的犯罪専門戦略策定・実行機関である。(筆者注2)で紹介した「ACPO サイバー犯罪戦略」をまとめている。その12頁で“Virtual Taskforce”について任務や機能等につき図解入りで解説している。わが国で同様な取組みがあるのか筆者は不明であるが、明確な説明は読んだ記憶はない。“Virtual Taskforce”の要旨を引用しておく。

　警察、産業界、アカデミー研究者やその他法執行機関による相互協力的取組みは、緊密な協力と協力的作業が必要である。“Virtual Taskforce”の組織は各特定したサイバー犯罪を解決すべくお互いの専門技術を持ち寄り、すでにその結果で明らかなとおり新たな取組みを行っている。特に現在の“Virtual Taskforce”組織は、 金融業界に的を絞っており、銀行、決済サービス、通信業者、ISPおよび複雑な問題に多角的にビジネスサポートを行いかつ“academic rigour”(高いレベルの研究機能を指し、あらゆる前提や仮説の検証やサポートを通じて、詳細にわたる徹底した調査、先進的かつ批判的な分析や考証に関する詳細な注意を払うこと)である機関(facilitation service)「英国王立国際問題研究所 (The Royal Institute of International Affairs：チャタムハウス： Chatham House)等をパートナーとする。
　なお、問題の性格上、各パートナーが遵守する“Virtual Taskforce Charter”を定める。

(筆者注7) ショート・メッセージ・サービス（SMS:Short Message Service）とは、携帯電話やPHS同士で短文を送受信するサービスである。Text Message（テキストメッセージ）とも呼ばれることがある。日本では第二世代携帯電話規格に「PDC」という独自の通信方式を採用したため、海外のGSMやCDMAとの間でサービスに互換性がない。従って厳密に言えばSMSとは区別されるべきものである。（wikipedia から引用）

［参照URL］
・http://www.justice.gov/usao/nys/pressreleases/September10/operationachingmulespr%20FINAL.pdf
・http://www.dailymail.co.uk/news/article-1316022/Nineteen-arrested-online-bank-raid-netted-20m.html
・http://www.scmagazineus.com/zeus-moves-to-mobile-devices-to-sniff-out-text-messages/article/179821/

Copyright © 2006-2010 福田平冶．　All Rights Reserved．