Goznymの閉鎖は現代のサイバー犯罪サプライチェーンの構造を浮き彫りにする

セキュリティ業界は数十年にわたり、サイバー犯罪経済が高度に専門化されたプロフェッショナルなサプライチェーンを構築していると警告してきた。しかし、法執行機関が洗練されたハッカー活動の秘密を暴いた時――今日、世界的なマルウェア集団Goznymがそうであったように――初めて、このグローバルな犯罪ネットワークにおける相互に絡み合ったあらゆるステップの全体像が明らかになるのだ。

木曜日、6カ国の警察、米国司法省、ユーロポールは、ゴズニムの摘発を発表した。ゴズニムは、2016年にほぼ壊滅した「アバランチ」と呼ばれる別のサイバー犯罪組織との関連が指摘されており、ブルガリア、ジョージア、モルドバ、ウクライナでメンバー5人を逮捕した。さらに5人の容疑者はロシアで逃走中だ。この組織は合計4万1000台のコンピューターに詐欺目的のマルウェアを感染させ、米国の被害者から1億ドルの窃盗を企てたが、実際にどれだけの金額が窃盗に成功したかは不明である。

ハーグにあるユーロポール本部で行われた記者会見で、世界の法執行機関は今回の逮捕を「前例のない」国際協力の好例だと称賛した。しかし、起訴状は、営利を目的とするハッカーの活動がいかに分散化・専門化しているかについても詳述している。彼らは主にゆるやかな繋がりを持つフリーランサーで構成され、それぞれが被害者への搾取における個々のステップを担当している。「ここで何が起こったか考えてみてください。Goznymとは何だったのか？Avalancheとは何だったのか？」と、欧州サイバー犯罪センターのスティーブン・ウィルソン所長は問いかけた。「これはサイバー犯罪サービスのスーパーマーケットでした。プログラマー、マルウェア開発者、防弾ホスティング業者など、あらゆるサイバー犯罪サービスがここにあります。」

起訴状では、サイバー犯罪専門家の長い連鎖が次のように説明されている。

• ロシア人のウラジミール・ゴリン容疑者は、バンキングマルウェア「Goznym」の作成、開発、管理の容疑で起訴されています。マシンにインストールされると、キーロガーとして動作し、被害者のウェブブラウザを乗っ取り、ログイン時に銀行のウェブサイトにフィッシングサイトを表示させ、認証情報を盗み出してアカウントを乗っ取ります。また、このマルウェアには、被害者に二段階認証コードを入力させるためのフィールドもブラウザに用意されており、このコードを傍受してリアルタイムで二段階認証を突破します。
• ゴリンは、グループのリーダーとして名指しされ、ボットネット内の数万台の感染コンピューターの管理を担うグルジア人被告のアレクサンダー・コノボロフに、Goznymマルウェアを貸与したとされている。当局によると、コノボロフは技術アシスタント兼管理者のマラト・カザンジアンの支援を受けていたという。
• 今年初めに逮捕されたウクライナ人のゲンナジー・カプカノフは、いわゆる「防弾」ホスティングプロバイダーとして、この作戦のためにインフラを貸し出していたとして告発されている。起訴状によると、彼のAvalancheネットワークは、20以上のマルウェア攻撃作戦にホスティングを提供していた。この作戦の一部は2016年に中断されたが、カプカノフは自宅の窓から警察に向けてAK-47を発砲したと報じられていたにもかかわらず、起訴状に記載された書類の誤りを理由に釈放され、逮捕を免れた。
• モルドバ人男性のエドゥアルド・マラニチ氏は、ウイルス対策ソフトから隠蔽するため、ゴズニムマルウェアを「暗号化」し、コードを難読化したとして告発されている。
• ロシア人のコンスタンチン・ボルチョフは、悪意のある添付ファイルやリンクをクリックしてコンピュータにGoznymをインストールすることを期待して、潜在的な被害者にフィッシングメールを大量に送りつけるスパム行為を実行したとされている。
• Goznymがインストールされ、被害者の認証情報が盗まれると、マルウェアはそれらの認証情報を管理パネルに送信します。ロシア人のルスラン・カティルキンとブルガリア人のクラシミール・ニコロフという2人の男が、このパネルを操作し、グループの「アカウント乗っ取り」専門家として活動していたとされています。彼らは被害者のアカウントにログインし、電信送金やACH決済などの電子送金を通じて資金を盗もうとしていました。
• ロシア人のウラジミール・エレメンコとファルハド・マノキンという2人は、このプロセスの「現金化」段階を担当し、盗まれた資金の受け取りとマネーロンダリングを行う口座を管理していたとされている。その後、資金はいわゆる「マネーミュール」と呼ばれる、この計画に関わる下級工作員によって銀行やATMから引き出された。彼らは起訴状では起訴されていない。マノキンは2017年に米国法執行機関の要請でスリランカで逮捕されたが、保釈されロシアに逃亡した。ゴズニムの他の4人のロシア人メンバーと共に、現在も逃亡中である。

法執行機関はゴズニムの活動を統一された組織として説明していたものの、容疑者のほとんどはロシア語のサイバー犯罪フォーラムでサービスを提供するフリーランサーとして活動していたようだ。「ゴズニムのネットワークは、これらのオンラインフォーラムから集められた人々が、それぞれの専門スキルを結集して陰謀を推し進めた結果形成された」と、FBI特別捜査官ロバート・アラン・ジョーンズは記者会見で述べた。同グループはオンラインチャットを通じて活動を調整していたようだ。

ユーロジャストのガブリエレ・ラウンハート氏によると、この緩やかなネットワークのグローバル化は、6カ国にまたがる警察と検察の間で、同様にグローバルな協力関係を築き、証拠を共有し、逮捕を同時進行させる必要があったという。「このような国際協力はおそらく前例のないものです。これは、司法と警察がサイバー犯罪組織の規模がいかに大きくなっても、そのインフラを崩壊させることで常に対処できる、そしてこれからもそうし続けるということを示しています」とラウンハート氏は述べた。「つまり、犯罪者は国境を越えて協力し、私たちも同様に協力することで、誰も正義の裁きから逃れられないようにするのです。」

もちろん、世界的な連携に関する発言の中には、この事件の被告人の半数が実際には司法の裁きを逃れているという事実が隠されている。ロシアは捜査に全く協力していないように見える国の一つだ。サイバー犯罪の取り締まりが世界規模に拡大している一方で、サイバー犯罪者自身もさらに世界規模に潜んでいる。そして、西側諸国の法執行機関が依然として到達できない国境の背後に潜んでいる者もいる。

WIREDのその他の素晴らしい記事

• コメディアンは機械の中にいる：AIがダジャレを学習
• インターネットは占星術を変えた。そしてミームが登場した。
• 私が小さな偽物のノキアを愛する理由
• Wazeは私たち全員がカープールで成功できるようにしたい
• ウィンターフェルの戦い：戦術分析
• 📱 最新のスマートフォンで迷っていますか？ご心配なく。iPhone購入ガイドとおすすめのAndroidスマートフォンをご覧ください。
• 📩 次のお気に入りのトピックについてさらに詳しく知りたいですか？Backchannelニュースレターにご登録ください