ロシアのアンダーグラウンドで活動するブラジル系サイバー犯罪者を確認。クレジットカード窃取に関与か

サイバー犯罪者のアンダーグラウンドを監視していると、しばしば思いがけない方向に展開にすることがあります。トレンドマイクロでは、ロシアのアンダーグラウンドフォーラム上のサイバー犯罪者の投稿から、13万6千件以上の窃取されたクレジットカード情報を確認しました。

■ロシアのアンダーグラウンドにブラジルからの投稿
今回の追跡は、ロシアのアンダーグラウンドフォーラム上で確認された投稿から始まりました(図1)。

図1:ロシアのアンダーグラウンドへの投稿(クリックすると拡大します)
図1:ロシアのアンダーグラウンドへの投稿(クリックすると拡大します)

これは、「acmpassagens」と名乗るユーザが、POS(販売時点情報管理)システムを狙った不正プログラム「Virtual Skimmer」に関し、協力を求めて投稿したものです。この投稿自体は、とりたてて珍しいものではありません。しかし、次の 2点で目を引きました。1つは、この投稿はロシア語で書かれているものの、ロシア語の母語話者によって書かれたものではなく、文章が不自然だったことです。もう 1つは、この投稿者は 400以上のガソリンスタンドや店舗にある POS端末にアクセスできるとしていますが、すべてブラジル国内だったことでした。つまり、このユーザは、ブラジルから、ロシアのアンダーグラウンドフォーラムに投稿していました。

「acmpassagens」は、自身のメールアドレス(acmpassagens3@yahoo.com.br)と Skype アカウント(acmpassagens)を投稿メッセージに記載していました。これらとユーザ名を用いて、この人物のオンライン上での他の行動も追跡することができます。例えば、Microsoft の公式フォーラム上で、「acmpassagens」はクレジットカード読取機についての質問に回答し、さらにソフトウェアを販売する投稿をしていました。

図2:Microsoft の Developer Network(MSDN)への投稿
図2:Microsoft の Developer Network(MSDN)への投稿

クレジットカードのスキミングに関する動画には、このユーザのメールアドレスが記載されています(図3)。そのため、興味のあるユーザは、彼の「ビジネス」に参加したいと思えば、直接連絡を取ることができました。

図3:Youtube に投稿された動画
図3:Youtube に投稿された動画

当初、「acmpassagens」なる人物の正体を突き止める手がかりは、オンライン上にないように見えました。弊社では、この人物が利用するメールアドレスと、2つの Skypeアカウント(acmpassagens および _brenosk815)を入手しました。

弊社がこの案件を保留しようとしていたところ、Google検索で信じられない大当たりを引きました。オンラインファイル保存サービス「4shared」で、「acmpassagens」が利用しているアカウントを発見したのです。しかも、このアカウントで保存されている 1GB 分のファイルはすべて公開されており、ユーザ名やパスワードなしに誰でもインターネット上で閲覧できるようになっていました。

図4:一般に公開されている「4shared」のアカウント
図4:一般に公開されている「4shared」のアカウント

図5:一般に公開されている「4shared」のアカウント
図5:一般に公開されている「4shared」のアカウント

■「4shared」のアカウントの中身
「4shared」のアカウントに含まれるファイルは、「acmpassagens」がこれまでに実行してきたサイバー犯罪の記録のように見えます。不正プログラムや、フィッシング詐欺サイトのひな形、サイバー犯罪者や共犯者、被害者の個人情報と思われるさまざまなファイルがそこに保存されていました。

そもそも「acmpassagens」とは何者でしょうか。このアカウントによると、「Breno Franco」と名乗るブラジル国籍の男性です。自身を「ビジネスマン」と称し、ブラジルで 8番目に人口の多い都市、サルヴァドールに正式な住所を持っています。このアカウント上には、彼自身の写真も複数見つかりました。

図6:Breno Franco の写真
図6:Breno Franco の写真

Franco氏は、他のユーザと通信するために、以下のメールアドレスを利用しました。

  • acmpassagens@hotmail.com
  • acmpassagens2@yahoo.com.br
  • acmpassagens3@yahoo.com.br
  • brenosk@gmail.com
  • buracoclub@yahoo.com
  • faelballestero@gmail.com

さらに、Franco氏の「Money-Mule(運び屋)」に関する情報も、多数確認されました。弊社は、Visaカードの明細書や銀行口座の明細書を含むさまざまな書類を確認しました。

図7:身分証明書のコピー
図7:身分証明書のコピー

これらの一部は本物の書類ではありません。しかし、パスポートやブラジルの公式身分証明書のコピーなど、運び屋の個人情報と思われるものが含まれていました(図7)。これらの書類が実在の人物のものであるか、またこれらのパスポートが偽造されたものであるかを判断するのは困難です。弊社では、「4shared」内にパスポート偽造のために作成した Photoshop のファイルを確認しています。また、運び屋の 1人と Franco氏の間でやり取りされた IP電話の通話記録も残されていました。

図8:IP電話の通話記録
図8:IP電話の通話記録

Franco氏が窃取した情報についてはどうでしょうか。弊社は、今後利用するために保存した 13万6千件のクレジットカード番号と思われる情報を、このアカウント上で確認しました。

表1:窃取されたクレジットカードの件数
表1:窃取されたクレジットカードの件数

10万7千件以上が Visa となっており、2万件以上が MasterCard です。残りのわずかな件数を他のカード会社が分けあっています。Visa は FIFA の公式パートナーとなっており、このことが Visa の顧客が被害に遭いやすい説明となっているかもしれません。

「4shared」のアカウントには、Franco氏が自身の攻撃に利用したと思われるツールも含まれていました。「Virtual Skimmer」や「BlackPOS」といった POS端末を対象とした不正プログラムも保存されており、Franco氏が投稿メッセージで言及した攻撃を実行するのに利用された可能性があります。

上述した不正なツールの他、窃取したカード情報の処理に有効な 2つのファイルも確認されました。1つは、窃取した有効なクレジットカード番号でクレジットカードを作成する際に利用するファイルです。もう 1つは、クレジットカード番号を検証するために利用するファイルで、「T3ST4D0R C0D3R (CC VALIDA)」として知られているものです。サイバー犯罪者は、検証のために正規のソフトウェアを悪用しています。

また、フィッシング詐欺サイト用のさまざまなひな形が、「4shared」のアカウントに保存されていました(図9)。これらのフィッシング詐欺サイトには、ごく最近、実際に確認されたものもあります。このようなフィッシング詐欺サイトは、ブラジルで開催されたワールドカップに便乗したものです。

図9:フィッシング詐欺サイトの例
図9:フィッシング詐欺サイトの例

これらのフィッシング詐欺サイトのひな形の 1つは、ブラジルのレストラン兼店舗の Webサイトを乗っ取って、アップロードされました。この Webサイト上のファイルは、2つに分けられます。1つは、2011年頃に、正規の Webサイトが作成、最終更新されたときのファイルで、もう1つは、2014年に Franco氏がこの Webサイトを乗っ取り、フィッシング詐欺ページを載せるために利用したファイルです。

■結論
サイバー犯罪者のアンダーグラウンドは、かつては集団ごとにはっきりと分けられて運営されていました。たとえば、ロシアのアンダーグラウンド、中南米のアンダーグラウンドのグループなどです。しかし、それは過去のものとなりました。サイバー犯罪者たちは国境を超え、手に入るさまざまなツールやリソースを組み合わせるようになっています。

サイバー犯罪者が協力して犯罪を行うようになると、その攻撃は真に国際的なものになるでしょう。弊社では、サイバー犯罪に立ち向かうため、今後も法執行機関と密接に連携し、支援し、情報を提供していきます。

【更新情報】

2014/07/14 18:00 図1 の説明について本文の一部を更新しました。

参考記事:

  • Brazilians in the Russian Underground
    by Trend Micro
  •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)