2009年4月12日日曜日
2004年秋の三井住友銀行ロンドン支店のハッカー詐欺裁判の有罪判決と米国キーロガー裁判の動向について
2009年3月7日付の朝日新聞は、2004年に英国の三井住友銀行(英語名:Sumitomo Mitsui Bank)ロンドン支店を舞台として犯行が行われ、未遂に終わったハッカー犯罪の判決公判が3月5日に開かれ、主犯に禁錮8年、共犯4人に3年から4年4か月の実刑判決が言い渡された旨報じている。
2004年9月から10月にかけて実行行為が行われ、当時2.29億ポンド(約318億3千万円)の詐欺未遂事件として話題になったが、今回の同紙の記事だけ読んでもこのような高額な詐欺事件がどのような手口で行われ、また内部要員や関係者が絡んだ事件だけに本当に金融システムの安全対策はとられているのかといった点が明確にされない限り、同様の犯罪が今度は成功するかもしれない。
筆者は英国のBBC、GuardianおよびIT専門サイト等の情報に基づき、これらの問題点を独自に分析してみた。その結果、明らかになった点は、世界的に見て専門的なIT技術を持った国際的金融犯罪組織の存在とその手口の巧妙さである。それらの点をわが国の犯罪捜査機関だけでなく金融機関のセキュリティ担当者や担当役員が理解していないと金融機関の安全神話は広く世間から支持されないであろう。
もう一点は、今回問題となったキーロガー専用端末や同ソフトウェアの販売をめぐるニュー・ビジネスと人権侵害問題である。本ブログでも紹介している米国の人権擁護NPO団体であるElectronic Privacy Information Center(EPIC)は、「個人向け監視技術(Personal Surveillance Technologies)」と題する問題提起に基づき2008年11月に連邦地方裁判所の緊急差止命令(Temporary Restraining Order)や仮差止命令Preliminary Injunctive Order)が発布されており、この問題も併せ論じる。 (筆者注1)(筆者注2)(筆者注3)
1.事件の経緯の概要
(1)2004年9月16日夕方の早い時間に2人のベルギー男性(Jan Van Osselaer(32歳)とGilles Poelvoorde(35歳))が三井住友銀行ロンドン支店の受付に到着し、その1人が警備主任のケヴィン・オドナヒュー(Kevin O’Donoghue(34歳))に面会を求めて来た。受付の女性はこの2人が専門のハッカーであり、歴史的犯罪の第一段階を実行しに来たことはつゆ知らなかった。
(2)同支店の監視カメラ(CCTV)は、この2人が談笑しながら同支店のオペレーションルームの端末に導いたことを記録していた。彼らは数台のワークステーションに持参したUSBメモリー・スティックを使い「キーロガー」ソフトウエアをインストール後、帰っていった。(記事はメモリー・ステック型と記述しているため忠実に紹介した。これと異なる手法としてはキーロガー・デバイスをキーボードとPCのコネクターの間に挿入するハードウェア型という方法もある。今回の犯人はソフトウェア型であり同デバイスは使用しなかったようである)
(3)数日後、再度同支店を訪れた2人はキーロガー・プログラムデータから銀行の行員のユーザー名とパスワードをダウンロードして帰っていった。
(4)しかし、ケヴィン・オドナヒューはいくつかのミスを犯した。1点目は仲間の犯行記録を残さないためCCTVの回線を一部切断したこと、2点目は特別なオペレーションルームへの特別なアクセス・バッジの発行について質問したことについて他の従業員が疑問に思ったことである。
(5)数週間後の10月1日(金)に2人が同支店に戻ってきた。第二段階でいよいよ違法な海外送金の実行行為である。行員IDとパスワードを使いスペイン、香港、トルコ、イスラエルの他銀行へのSWIFT(スウィフトは「Society for Worldwide Interbank Financial Telecommunication(国際銀行間通信協会)」の略称で、国際送金に使用する金融機関識別コード「SWIFTコード」(SWIFTアドレスやBICコードとも呼ばれる)を管理している)を経由した10件の送金操作を試みた。送金の原資は、三井住友銀行に預入されていた東芝インターナショナル、野村アセットマネイジメント、住友化学工業イギリスなど大企業の資金であった。最大の送金金額は4,100万ポンド(約55億7,600万円)であった。
(6)しかし、この違法なオペレーションは失敗した。銀行休業日の10月2日(土)に、2人は同支店に再度侵入して同様のオペレーションを行ったがやはり失敗した。その原因は、SWIFTの送金情報の記入に基本的なミスを犯したのである。彼らの計画未遂は週明けの10月4日(月)に行員が来てログインして明らかとなった。ありえない取引記録が残され、数台のコンピュータ・ケーブルが切断されていたのである。銀行は直ちに警察に通報し、捜査官は事件の内容から見てケヴィン・オドナヒューの関与を疑い本格的捜査が始まった。CCTVの解析で深夜に2人が支店に侵入していう事実も判明した。
(7) Poelvoordeはベルギーでの前科があり、詐欺で5年の有罪判決をうけており、逮捕された際、偽造パスポートを所持していた。その後問題となったOsselaerはコンピュータサイエンスの学位をもっていた。
(8)英国の重大犯罪対策捜査機関であるSOCA(筆者注4)を中心としたベルギーなどに出向く長期にわたる捜査の結果、主犯はヒュー・ロドリー(Hugh Rodely(61歳))およびその長期にわたるビジネス・パートナーであるベルナード・ディビス(Bernard Davies(71歳)2009年1月16日に自殺)は、窃盗、詐欺および違法な犯罪資金の国際送金や英国外への移動(マネー・ローンダリング)の共謀(conspiracy)の罪で起訴された。
2.刑事裁判所の判決
グロースターシア刑事法院(Snaresbrook Crown Court)(筆者注5)は2009年3月5日に主犯Hugh Rodely、ケヴィン・オドナヒュー、Poelvoorde、Osselaer、ベルナード・ディビスの被告5人に対し上記有罪判決を宣告した。
3.今回の事件から見た金融機関等のセキュリティ対策の見直し課題
(1)内部に犯罪協力者がいる場合、各種の安全対策の脆弱性は極端に強まる。また、一概には言えないが休日や夜間に作業を行う派遣従業員、警備員、清掃業者などの業務管理面の強化が必要である。
(2)最も重要な点はキーロガー(Keylogger:もともとPCの操作者に入力データのキーストロークをとらえる診断ツールとしてソフトウェア開発技術で用いられてきたもので、その利用形態はハードウェア型(筆者注6)とソフトウェア型の2種がある)を悪用したハッキング行為対策の重要性である。例えば、金融庁の「システムリスク管理態勢の確認検査用チェックリスト」Ⅴ.(3)データ管理体制」で記されているとおり「データ保護、データ不正使用、不正プログラム防止策について適切かつ十分な管理体制を整備しているか」の具体的対応が的確に行われているかという点ある。
では、キーロガーの被害防止策とは具体的にどのような対策が現時点で考えられるのか、内外で紹介されている内容も含め整理して見る。
A.マシン内のプログラムのモニタリングや違法デバイスの検出
恒常的なマシン内のプログラムのモニタリングやハード面ではマシン本体のPS/2キーボードコネクター(青紫色) やUSBコネクターにハードウェア型のキーロガーが装填されていないか確認する。ただし、ハードウェア型ではキーロガー・モジュールが直接キーボード本体に取り付けられるため検出が困難な場合もある。なお、ハードウェア型のキーロガーは①価格が比較的安価(50米ドル(約5,000円)くらいからある)であること、②専門技術なくても簡単に取り付けられること、③メモリーなどに記録が残らないこと、④スパイウェア対策ソフトでは検出できない点である。
B.ウィルス対策ソフトによるキーロガーの検出
ウィルス対策ソフトやスパイウェア対策ソフトを使用する。ただし、犯罪捜査など合法的に販売されているものや自作のものの場合は検出が困難である。
C.キーロガー専用検出ツールの利用
①マルウェアのパターンマッチング検出、②キー入力をフックしての検出、③ファイル・スキャン検出が一般的である。
D.コード署名(Code signing)
マイクロソフト社のOSであるWindows VistaやServer2008の64ビットバージョンはカーネルモードデバイスドライバが強制的なデジタル署名を実装されており、解除しない限り、主要なキーロガー・ルートキットのインストールを制限する。
E.ファイアウォール
ファイアウォールを可能にするとキーロガーそのものは阻止できないが、適切に構成されるとネットワーク上でロギングされた情報の伝達が阻止される。
F.ネットワーク・モニター
ネットワーク・モニターは、ネットワークに対し外部から接続が行われるとユーザーに警告を鳴らすものである。これはキーロガーがリモートで自分の機器にログイン情報を伝送するのを阻止する。
G.ワインタイム・パスワードおよび2段階認証
パスワードの組成は、USBトークンやカード型計算機により行うもので、キーロガー対策として効果や有効は評価されており、わが国でも大手銀行のインターネットバンキングですでに利用されている。ただし、トークン等の経費負担、本人の管理責任やユーザーの使い勝手からみるとなお課題もある。
H.スマートカードの使用
スマートICカードの中にある集積回路を通じてログイン情報のやり取りを行うため同じ情報が伝達されない。
I.ヴァーチャル・キーボード(On-screen keyboard)
わが国のインターネットバンキング(Web-based keyboards)でも使用されている。ただし、その巨額なコスト負担が問題となっている。また、ヴァーチャル・キーボードは新しい技術ではなくWindowsのOSプログラム中のアクセサリーから選択できる。(筆者注7)ただし、四肢に傷害があるユーザー向けでありサイバー犯罪対策として開発されたものでないため、更なる課題もある。
4.キーロガー・ビジネスやキーロガー詐欺の差止命令や刑事告発をめぐる米国の動向
(1)連邦取引委員会によるキーロガー・ソフト販売業者に対する差止命令請求
米国人権擁護団体であるEPICは2008年3月6日に連邦の業界監督機関である連邦取引委員会(FTC)に対し、CyberSpy Software,LLC(フロリダ州に本部)の違法ビジネスの差止め(injunction)および補償請求を行った。これを受けてFTCはその請求の採択を4-0で行った後、2008年11月5日に連邦取引委員会法(FTC Act)(合衆国法典第15編第2章第Ⅰ副章第53条(b))の13条b項他(筆者注8)に基づきフロリダ中央区連邦地方裁判所オーランド部(District Court for the middle District of Florida Orlando Division)に対し行ったCyberSpy Software,LLCおよび同社CEOのTracer R.Spenceへの違法ソフトなどの販売差止めおよび衡平法上の救済(仮差止命令)を請求したが、その請求理由および措置の内容は次のとおりである。
〔FTCの差止請求事由〕
(1)法定証拠書類による被告のキーロガーソフトによる違法性の高い手口
①被告は自社の顧客に対し、いかにスパイウェア(商品名:RemoteSpy)を写真のように無害とみせてEメールに添付するか詳細な説明を行った。
②犠牲者が変装したスパイウェアをクリックすると、キーロガーソフトは犠牲者のPCのHDに無言のまま静かにインストールされる。
③このスパイウェアは犠牲者のパスワードを含む取込画像、閲覧したWEBサイトなどすべてのキーストロークを記録し、そこで集められた情報の収集と組織化を行うため、RemoteSpyの顧客は被告の運営するウェブサイトにログインした。
④被告は、RemoteSpyは100%検出されないと誇大な宣伝していた。
(2)FTCの裁判所への申立事由は次のとおりである。
①不公正な宣伝行為および販売行為は連邦取引法違反(筆者注9)
②コンピュータの所有者または権限を持つもの以外による遠隔地操作を実行させた。
③ひそかに個人情報を収集しかつその個人情報を公開させた。
〔裁判所の緊急差止命令および仮差止め命令の発布〕
2008年11月6日に同裁判所は緊急差止命令を発し、また11月25日に仮差止命令を発布した。
(3)米国連邦司法省(DOJ)の起訴例
〔配偶者や恋人の監視ソフト(Loverspy)の開発・販売会社に対するDOJの告訴〕
2005年8月26日にDOJのカリフォルニア州南部地区検事Carol C.Lamおよび刑事部副検事John C. Richterがリモート型スパイウェアの“Loverspy”を告発した。同省のリリースによると次のようなソフトウェアの開発などが行われており、同省は通信傍受法(Wiretap Act)(筆者注10)および「コンピュー詐欺及び不正利用防止法(the Computer Fraud and Abuse Act(CFAA):18 U.S.C.§1030)」違反を理由として告訴したものである。なお、開発販売に関与した被告カルロス・エンリケ・ペレス・メララ(Carlos Enrique Perez-Melara)に計35訴因(counts)の基づく起訴を行った。1訴因につき最高5年の禁錮刑および最高25万ドル(約2,500万円)(併科もある)であることから当時のメデイアは最高175年の禁錮刑裁判として話題となった。
またDOJは、同ソフトを使用してハッキング行為や盗聴行為を行ったことを理由に4人に対し、2つの訴因(counts)に基づき起訴を行っている。
なお、起訴状によると当時のウィルス対策ソフトはLoverspyの危険性を認識できず、米国以外も含む1000人以上の購入者は2000人以上の被害者の電子メール、パスワード、チャットセッション、インスタントメッセージウェブサイトの閲覧内容のモニター、記録および報告を行ったのである。
(4)キーロガー詐欺をめぐる告訴例
2003年2月6日にマサチューセッツ州ミドルセックス郡の大陪審(grand jury)はロードアイランドに住む元大学生ダグラス・ブードロー(Douglas Boudreau)21歳に対し、①電気通信の妨害行為に関する6つの訴因、②無権限のコンピュータシステムへのアクセスに関する8つの訴因、③250ドルの窃盗(larceny)と身分詐称詐欺(identity fraud)に関する2つの訴因につき有罪評決した。被告は数千人の大学のコンピュータ利用者の個人情報を収集する目的でボストン大学の数10台のコンピュータにキーストロークをモニタリングする不正ソフトをインストールしていた。その結果、被告は約4,800人の教授、学生、事務局員などのパスワード、大学のビル内へのアクセスコード、クレジットカード情報や社会保障番号などを不正に収集した。
http://news.zdnet.co.uk/itmanagement/0,1000000308,2130064,00.htm
(筆者注1)EPICがキーロガー問題サイトで解説しているとおり、サイバー犯罪という面だけでなく、個人の行動のリモート監視支援技術としても注目されている。
(筆者注2)米国の裁判上、原告が損害賠償の請求に加えて、被害の拡大など被告が継続的営業を止めたい場合は、訴訟の係属中(つまり本案に対する判断がなされる前に)回復不能の損害が生ずるのを予防すべく「仮差止命令(preliminary injunction order:PIO)」を求めることになる。仮差止命令が求められた場合、裁判所は、原告による仮差止命令を求める申立につき審尋(hearing)を行う。この場合、原告は正当な理由があること、すなわち、差止命令がないと訴訟の係属中(本案に対する判断がなされる前に)に切迫しており、かつ、回復不能な損害をもたらしうる権利侵害が行われることを示す必要がある。仮差止命令を発すべきかを裁判所が決める審尋に先立って回復不能の損害が生ずることを原告が示し得た場合、審尋までの間の現状を維持することを目的とする「緊急差止命令(temporary restraining order:TRO)」が短期的なものとして発されることがある。裁判が最終的に判決されるときの差止めを“Permanent Injunction ”という。
前者は、相手方に対する通知と審尋がなされた後で出され、通常は訴訟の最終的解決までの暫定的な措置を定めるものであり、後者は、相手方に対する通知もなく一方的な申立に基いて出される緊急的性格のものである。
http://www.lectlaw.com/def/i046.htm、http://legal-dictionary.thefreedictionary.com/Injunction
この“Injunction order”は、一定の行為を禁止する裁判所の命令で、「禁止命令」ともいう。日本の法律には直接「差止め」を規定したものはないが、公害裁判等でその現実的な必要性を理由に判例・学説上認められている。
なお、わが国の法律では、権利を保全するために、その権利を確定または実現させるまでの間、裁判所から命ぜられる民事保全法上の暫定的処分を「保全命令」といい、金銭債権を保全する目的の「仮差押命令」と金銭債権以外の保全を目的とする「仮処分命令」の2種がある。
(筆者注3)次の事例は、スパイウェア被害に関するスパイ対策啓発WGサイトからの引用したものである。
①2005年8月、米国でスパイウェアを使った大規模な個人情報盗難が発覚しました。攻撃者はPC上のキーボード入力を記録して外部に送信するスパイウェア(キーロガー)を使って多数のパソコンからクレジットカード番号、社会保障番号、ユーザー名、パスワード、インスタントメッセージのチャット内容、検索のために入力したキーワードなどの個人情報を収集しました。関係した銀行は50にもおよび、現在、連邦捜査局(FBI)がこの事件について調査を進めています。
②2005年7月4日、国内のネット銀行でパソコンの情報が盗まれ預金が引き出される事件
が起こりました。攻撃者はPC上のキーボード入力して外部に送信するスパイウェア(キーロガー)を使ってインターネットバンキングの利用者のPCから口座の支店名や口座番号、パスワードを盗み、預金13万円を無断で引き出していました。
③2005年7月9日、国内のネット銀行でパソコンの情報が盗まれ貯金が別の口座に転送さ
れる事件が2件起こりました。預金が不正に振り込まれる事件が2件発生しました。攻撃者はPC上のキーボード入力を記録して外部に送信するスパイウェア(キーロガー)を使って利用者のPCからネットバンキング用のIDやパスワードを盗み、利用者の口座から、別の口座に総額500万円を無断で転送しました。
(筆者注4) 英国政府は「2005年重大組織犯罪および警察法(Serious Organised Crime and Police Act 2005)」に基づき、2006年4月に全英ハイテク犯罪機構(The National Hi Tech Crime Unit:NHTCU)を廃止し、重大組織犯罪対策機構(Serious Organised Crome Agency:SOCA)の稼動を開始した。SOCAは米国連邦捜査局(FBI)にならって英国FBI(Britisch FBI)と呼ばれているが、テロや殺人事件機能、権限は有しておらず必ずしも正確な名称ではない。SOCAは独立の公共独立機構(Non-Departmental Public Body)である。
(筆者注5) 2006年5月27日の本ブログでも英国刑事法院について言及している。英国は陪審制度を導入しており、わが国の裁判員制度との関連もあるのでここで「英国の裁判制度」および「刑事裁判制度」について簡単に説明しておく。なお、英国の裁判制度全体についての図解を探したところ、米国の連邦議会図書館(Library of Congress)サイトで見つけた。もともとは英国法務省(Minister of Justice)のサイトにイングランドとウェールズ他の裁判機構の概要図(Outline of court structure in England & Wales)が掲載されている。わが国の最高裁判所に当たるのが「貴族院(House of Lords)」である。議会が司法の最高機関を兼ねるのは三権分立に反するといった指摘もあろうが、そもそも英国ではそのような矛盾は従来からあり、2004年から2009年にかけての司法改革の結果、2007年に生まれた法務省が裁判所、刑務所および執行猶予サービスの最高責任すなわち刑事、民事や家庭内の裁判問題ならびに民主主義や国民の憲法上の各種権利の実行責任を持つとした背景も理解しやすいであろう。
(筆者注6)国際的な情報セキュリティ専門会社(Kaspersky Lab)サイトの説明では、一般人にも分かりやすくまたキーロガー犯による被害の急増の実態や具体的な防止策について写真入りで解説されている例英文で紹介している。なお、ここで紹介されている防止策はわが国の大手銀行のインターネットバンキングにおいてすでに導入されているが、今後の新たなハッカー対策として更なる研究が必要であろう。(Wikipediaではハードウェア型のキーロガーについてワイヤレス型も紹介されている)
(筆者注7)
Windowsのスクリーンキーボードの設定方法について説明しておく。「すべてのプログラム」→「アクセサリー」→「ユーザー補助」→「スクリーンキーボード」の順である。
(筆者注8)FTCの裁判所への請求の根拠条文は15 U.S.C.53(b)および45条(a)であるが、正確に記すと“U.S.Code Title 15>CHAPTER 2>SUBCHAPTER Ⅰ>§53(b)であり、 FTCの偽広告(false advertisement)に係る緊急差止命令および仮差止命令請求の根拠条文である。なお、45条(a)はFTCが不公正な競争や通商および欺瞞を違法と宣言し裁判所にその差止めを請求する根拠条文である。
なお、わが国の現行法制の中で被告の誇大広告を取締ったり排除命令を行なう方法として公正取引委員会サイトでは「景品表示法第4条第1項第1号(優良誤認表示規制)は,商品・サービスの品質,規格その他の内容(以下「商品・サービスの内容」という。)について,一般消費者に対して実際のものよりも著しく優良であると示すこと,又は一般消費者に対して事実に相違して当該事業者と競争関係にある他の事業者に係るものよりも著しく優良であると示すことにより,不当に顧客を誘引し,公正な競争を阻害するおそれがあると認められる表示を不当表示として禁止している。」とある。また、同委員会は「不当景品類及び不当表示防止法第4条第2項(不実証広告規制)の運用指針 」に基づく具体的運用を行っている。
景品表示法に違反する不当な表示や,過大な景品類の提供が行われている疑いがある場合,公正取引委員会は,関連資料の収集,事業者への事情聴取などの調査を実施する。調査の結果,違反行為が認められた場合は,公正取引委員会は,当該行為を行っている事業者に対し,不当表示により一般消費者に与えた誤認の排除,再発防止策の実施,今後同様の違反行為を行わないことなどを命ずる「排除命令」を行う。 また,違反の事実が認められない場合であっても,違反のおそれのある行為がみられた場合は「警告」,違反につながるおそれのある行為がみられた場合は「注意」の措置がとられる。
なお、同法第11条の2は、「消費者契約法(平成12年法律第61号)第2条第4項に規定する適格消費者団体は、事業者が、不特定かつ多数の一般消費者に対して次の各号に掲げる行為を現に行い又は行うおそれがあるときは、当該事業者に対し、当該行為の停止若しくは予防又は当該行為が当該各号に規定する表示をしたものである旨の周知その他の当該行為の停止若しくは予防に必要な措置をとることを請求することができる。」と適格消費者団体による差止請求権を定めている。
(筆者注9)FTCは2003年4月15日に53条(b)および45条(a)に基づきイリノイ州北部区連邦地方裁判所東部(District Court for the Northern District of Illinois Eastern Division)裁判所に対しに基づきスパマーに対しスパムメールの緊急差止め、仮差止めおよび差止命令の請求を行っている。
(筆者注10)米国における「1994年通信傍受支援法(Communication Assistance for Law Enforcement Act:CALEA)」をめぐる人権問題について2006年5月27日の本ブログで紹介している。
〔参照URL〕
http://news.bbc.co.uk/2/hi/uk_news/7909595.stm
http://www.guardian.co.uk/uk/2009/mar/04/sumitomo-bank-fraud-attempt
http://www.ftc.gov/opa/2008/11/cyberspy.shtm
Copyrights (c)2006-2009 福田平冶. All rights reserved
登録:
コメントの投稿 (Atom)
0 件のコメント:
コメントを投稿