トレンドマイクロは、近年、複数のサイバー犯罪者の逮捕や彼らが利用するインフラの閉鎖を確認しています。そして、それらに新たに付け加える事例がありました。英国の法執行機関は、弊社と協力して、「Jam3s」と呼ばれるサイバー犯罪者を逮捕および起訴しました。Jam3s の本名は、James Bayliss です。James は、攻撃ツールキット「SpyEye」のコマンド&コントロール(C&C)サーバを稼働させており、「ccgrabber」と名付けられた SpyEye のプラグインのコーディングもしていました。James は、捜査が開始されてから 4年以上を経て、ついに起訴されました。
James は、Aleksandr Andreevich Panin、別名「Gribodemon」と SpyEye のプラグイン「ccgrabber」のコーディングについて、密接に連携して作業を行っていました。このプラグインは、クレジットカードの番号およびセキュリティコードを収集するのに利用されました。これは、感染PC から送られた POSTリクエストを解析することで行っていました。
James が管理する SpyEye のサーバの 1つは、IPアドレス「91.211.117.25」上にインストールされており、2010年9月の間、稼働していました。図1 は、弊社が復号した「SPYEYE」の環境設定ファイルです。
Jam3s は、アンダーグラウンド上に多くのつながりを持っており、サイバー犯罪に関わっていた期間に複数の人物と知り合いました。それらの人物の大半は、ボットネットを稼働させたり、ボットネットのコードを記述するサイバー犯罪者であると考えられます。Jam3s は、Panin、別名「Gribodemon」と頻繁に連絡を取っており、Hamza Bendelladj、別名「bx1」とも知り合いました。弊社は、Panin容疑者および Bendelladj容疑者の逮捕に協力しました。今回の逮捕は、不正プログラム「SPYEYE」およびこの不正プログラムに関わる複数のサイバー犯罪者に関連する世界規模の捜査の一部でした。
Jam3s と交流のあったインターネットメッセンジャ「ICQ」のアカウントは、数例を挙げると、「SpyEye notify」、「Death/Cripter」、「Criminal」、「Parabola」などです。
今回の逮捕は、どのようにセキュリティ企業が密接に法執行機関と捜査を行い、成果を出すことが可能であるかを表しています。Webサイトなどの閉鎖による、比較的素早く、容易に修復が可能な損害を与える代わりに、弊社は、サイバー犯罪者の管理するサーバではなく、サイバー犯罪者自身を追跡することによって、アンダーグラウンド全体に恒久的な損害を与えます。弊社は、これがサイバー犯罪への攻撃方法であり、すべてのユーザにとってインターネットをより安全なものにする方法だと確信しています。
参考記事:
by Trend Micro
翻訳:木内 牧(Core Technology Marketing, TrendLabs)