攻撃ツール「SpyEye」作成者の Aleksandr Andreevich Panin 容疑者に対し、同ツールキットの作成および拡散の罪で懲役9年6カ月の刑が下されました。この攻撃ツールで作成された不正プログラムがオンライン銀行詐欺ツール「SPYEYE」です。今回の判決は、2013年に初めて Panin 容疑者の逮捕が確認されてからようやく示された大きな進展と言えます。2014年初旬に「SpyEye」の作成および拡散に関する罪を本人が認めた中での今回の判決となります。
また、2013年の逮捕も、米連邦捜査局(FBI)、トレンドマイクロ、その他の法執行機関やセキュリティ業界のパートナーとの連携の成果であり、弊社が提供したハンドル名やアカウント等の情報が Panin 容疑者や共犯者の特定に貢献していました。
■ 「SpyEye」の変遷
攻撃ツール「SpyEye」は当初、情報窃取型不正プログラム「ZBOT」に対抗する不正プログラム「SPYEYE」作成用ツールキットとして登場し、この不正プログラムも、当時のボットネット覇権を巡り「ZBOT」の後継者などと言われていました。「ZBOT」と同様、「SPYEYE」も、銀行や金融関係の Webサイトに関連したユーザ情報を窃取する不正プログラムとして悪名高く、感染PC 上で自身のプロセスやファイルを隠ぺいするルートキット機能も備えています。
そして感染事例として弊社でもさまざまな亜種の登場を確認してきました。特筆すべき点としては、「Slavik」や「Monstr」の名前で知られる「ZBOT」作成者がサイバー犯罪の現場から撤退する際、「ZBOT」のソースコードを「Gribodemon」や「Harderman」の名前で活動していた当時の Panin 容疑者に譲り渡したという出来事もありました。
■ 「SpyEye」への調査活動
弊社では、Panin 容疑者の逮捕前から「SpyEye」に関する調査活動を行なってきました。2011年には弊社の調査結果として、「Soldier」と名乗るサイバー犯罪者が「SpyEye」を駆使して6カ月間に320万米ドル(約3,500万円。2016年4月21日現在)以上を稼ぎ出し、主に米国のユーザを標的にして、政府機関や軍事機関などの大規模な組織も攻撃対象となっていたことなどを明らかにしました。
Panin 容疑者の逮捕と判決では、同容疑者および共犯者で「Bx1」と名乗る Hamza Bendelladj 容疑者の動きをモニタリングするなど、弊社による調査活動の最終的な成果ともいえます。例えば、弊社のリサーチャーは、この二人の容疑者が訪れたとされるさまざまアンダーグラウンドフォーラムを潜伏調査してきました。フォーラムの書き込みの中でメールアドレスや ICQ番号もしくは Jabber番号など、本人特定につながる情報が不用意に明かされる可能性を追跡していました。
これらの情報は FBI に共有され、FBI側の調査結果と合わせて両容疑者の逮捕に至りました。Bendelladj 容疑者は、2013年1月、マレーシアからエジプトに向かう途中、バンコクのスワンナプーム国際空港で逮捕され、同年5月に送還されて公判開始まで拘束されました。Panin 容疑者は、2013年7月、ハーツフィールド・ジャクソン・アトランタ国際空港で乗り換えの際に逮捕されました。
Bendelladj 容疑者は、アラビア語圏のハッキングコミュニティで「英雄的な存在」などと独り言を呟いていたようです。逮捕後、Bendelladj 容疑者は、窃取した何百万ドルもの金額をパレスチナの慈善活動に寄付しており、米国では死刑判決が言い渡されたといった主張がなされました。しかし、米国当局はいずれの主張も否定しています。実際、米国では、サイバー犯罪は死刑に相当する罪状ではありません。
2014年5月には「James Bayliss」と名乗るイギリスのサイバー犯罪者が逮捕されました。同容疑者は、Panin 容疑者と密接に連携し、攻撃ツール「SpyEye」のプラグインである「ccgrabber」のコーディングに携わっていました。このプラグインは、クレジットカード番号およびセキュリティコードの収集に利用され、感染PC から送られた POSTリクエストを解析することで収集活動が可能になります。同容疑者の逮捕も、イギリスの法執行機関と弊社との連携により実現しました。
■ 法執行機関との連携
こうした多数の逮捕やテイクダウンは、これらに取り組む法執行機関との連携の重要性を物語っています。官民のパートナーシップは、ユーザを守ってサイバー犯罪を阻止する上で、グループや個人の努力にも増して不可欠であると言えます。
官民のパートナーシップは、双方にとっても有益となります。セキュリティ業界は、法執行機関側で不足しがちな技術的な知識やスキルを提供できます。法執行機関は、攻撃で背後に潜むサイバー犯罪者へ法的な制裁や抑止が可能です。サイバー犯罪で悪用されたインフラやサーバのテイクダウンは、サイバー犯罪への短期的な対策にしか成り得ません。根本的対策には、法執行機関との連携により、サイバー犯罪者の活動を阻止する取り組みが不可欠です。
参考記事:
翻訳:与那城 務(Core Technology Marketing, TrendLabs)