海外における個人情報流出事件とその対応第209回急増するMoney Muleを利用した詐欺 (1)仕掛けられたキーロガー

　11月3日、Internet Crime Complaint Centerが"Money Mule（マネー・ミュール）詐欺"が急増していると警告を行っている。同様に、連邦預金保険会社(Federal Deposit Insurance Corporation FDIC)も10月29日に、金融機関に対して自宅で資金転送を行う仲介者について警戒を求めるニュースリリースを送付した。Money Muleは、FDICの警告の概要では、"総合口座であるdeposit accountを用いて権限のない電子資金決済を受領した後、海外の犯罪者へと資金を送金する個人"と説明している。いわゆる運び屋だ。

　Internet Crime Complaint CenterはFBIとNational White Collar Crime Center、Bureau of Justice Assistanceのパートナーシップの機関で、かつてのInternet Fraud Complaint Centerが新しい組織になったものだ。急速に拡大するサイバー犯罪に関しての刑事告発を受理するとともに、勧告を行う媒体として機能していて、被害者が使いやすい便利な報告形態を採用することで、取締をスムーズにすることを目指している。

　Internet Crime Complaint Centerのプレスリリースによると、これまでに不正に取得を試みた金額はなんと1億ドルにのぼるらしい。ターゲットは中小規模の企業だ。

　典型的な例では、攻撃のベクターはウイルスを仕込んだファイルもしくは、Webサイトへのリンクを用意したe-mailによるスピアフィッシングだ。これらのe-mailは企業で電子送金や、自動決済システム(Automated Clearing House:ACH)で資金送金を担当している経理スタッフなどに送られる。

　ACHは、米国の連邦準備銀行(FRB)などによって運用され、銀行間の資金決済を電子的に行う決済システムだ。給与振込、公共料金の支払いの他、自動引き落としなどに利用されている。

　受信したユーザが添付ファイルを開くか、リンクにアクセスすると、マルウェアがインストールされてしまう。マルウェアは通常キーロガーで、経理担当者が業務上インプットした、被害企業の金融機関の情報を不正に取得する。犯人は別のユーザアカウントを作成するか、そのままのユーザ情報で企業の資金にアクセスして、正規のユーザと偽って送金を行う。電子送金とACHの両方が悪用されているが、プレスリリースでは特にACHについて警戒している。

　DDoS攻撃を用いて、ACHのプロバイダや銀行が不正なACH送金を阻止しようとするのを防ごうとするケースもあったというから悪質だ。ACHでの送金金額は数千ドルから数百万ドルまでさまざまだ。

　そしてこれらの攻撃ではMoney Muleが活躍する。Money Muleは犯罪に加担していると意識している場合もあるが、気付かずに犯罪者に手を貸していることもある。Internet Crime Complaint Centerのプレスリリースでは、米国在住だが、例えば英国での事件なら英国在住と、不正送金を受け取る口座のある国に住むMoney Muleが使われる。

　英国の金融機関グループによるフィッシングやMoney Mule、トロイの木馬についてのアドバイスを行うBank Safe Onlineによると、Money Muleにかかわっているサイバー犯罪者の大半は海外にいる。Internet Crime Complaint Centerの警告では東欧在住者が多い。

●約20人のMoney Muleがかかわった計20万ドルの不正送金

　9月16日付の『Washington Post』のBrian Krebsの『Security Fix』でも、Money Muleの役割がハイライトされている。9月11日、メイン州に本社を持つDowneast Energy & Building Supply が850人以上の顧客に対して、データ盗難の被害にあった旨の通知を行った。しかし、犯人にとってはデータベースからの情報盗難よりも、オンラインの銀行口座から20万ドル以上を盗み出すことが目的だったようだ。

　Downeast Energy & Building Supplyは、暖房用の灯油、ケロシン、プロパンや建材を販売する会社だ。米国のメイン州に本社がある。Security Fixによると、犯人は9月以前にDowneast Energy & Building Supplyのシステムにキーロガーを仕掛けたとされている。キーロガーを用いてインターネットバンキングの情報を盗み出した。

　一連の約1万ドル単位での送金を行ったのは9月2日ごろだ。送金先は米国全体の20人以上の個人に対してで、これらの個人は今までにDowneast Energy & Building Supplyとの取引はなかった。

　『Portland Press Herald』も事件について報じている。犯人は東欧から攻撃していたようで、顧客がDowneast Energy & Building Supplyに支払いを行う口座へのアクセスを不正に得ていた。

　事件は、Downeast Energy & Building Supplyの取引銀行であるKeyBankからと装ったe-mailから始まった。一見無害に見えるものだったが、キーロガーが仕掛けられていたために、ユーザ名とパスワードが不正に獲得されてしまった。John Peters社長によると、残念ながらDowneast Energy & Building Supplyが被害金額を回収できる見込みはなさそうだ。

●2要素認証も阻止できなかった39人への送金

　Downeast Energy & Building Supplyの事件に先立ち、9月9日付の『Security Fix』では、Ferma Corpでの事件についても触れている。Ferma Corpは1963年に創業された、カリフォルニア州北部にある、取壊・解体サービスを行う会社だ。

　そのFerma Corpから7月中旬に39人のMoney Muleに不正な送金が行われた。Roy Ferrari 社長は、どのようなマルウェアが攻撃に使われたのか分からないと、Krebsに話している。攻撃を受けたコンピュータのハードドライブは捜査のためにFBIに提出しているためだが、社員の1人は、セキュリティソフトが内部システムでオンラインバンキングを狙うトロイの木馬を探知したと証言している。

　Ferrari 社長によると、事態に気付いたのはFerma Corpの取引銀行ではなく、Money Muleが口座を開設した銀行だという。最近、新しく口座を開いた数人へ、同時期に送金がされたのを不審に思ったらしい。連絡があってすぐに対応したことで、23万2,000ドル以上の送金を止めることができた。しかし、犯人は…

【執筆：バンクーバー新報西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec