盗んだ銀行口座をダークウェブで売っていた男　FBIが潜入捜査で告発

August 29, 2016 08:00
by 江添 佳代子

米司法省は7月22日、銀行口座のログイン情報をダークウェブで販売していた男がFBIのアトランタ支局に告発されたことを発表した。同省のプレスリリースによると、ミネソタ州在住のAaron James Glende（35歳）は、ダークウェブのECサイト「AlphaBay Market」で「IcyEagle」を名乗り、SunTrust Bankから盗み出されたアカウント情報を販売していたという。

犯罪者に人気の闇市場「AlphaBay」

ダークウェブには、販売が罪に問われる商品やサービスを「身元を隠したまま」売買するためのECサイトがいくつも存在している。それらの中でもAlphaBayは知名度が高く、利用者数も多い。ここでは麻薬や薬物、銃器や犯罪グッズ、脆弱性情報やハッキングツール、そして盗品のカード情報やID情報など、ありとあらゆる「悪いもの」が手に入る。

さらにユーザーインターフェイスの良さにも定評がある。AlphaBayにはAmazonやeBayで見られるような出品者評価のシステムが導入されており、また商品検索の機能も優れているため、『闇ウェブ』の執筆時にはとても役にたったサイトだ……とスプラウトの岡本氏（『闇ウェブ』執筆者のひとり・THE ZERO/ONE編集担当）も太鼓判を押している。

このサイトでGlendeが販売していたのは、米国の銀行SunTrust Bankから盗み出された口座情報だった。SunTrust Bankは米南部全域に約1500の支店を構えている地方銀行で、2016年3月時点での総資産額は約1490億ドル（約15兆円）。米国内の銀行としては15位の規模となっている。

ダークウェブのマーケットとして有名な「AlphaBay」

IcyEagleが販売した「商品」

米連邦検事の説明によると、GlendeはAlphaBayでの活動を開始した2015年11月以降、これまで少なくとも2回に渡り、SunTrust Bankの口座情報を売り込むための投稿を行った。興味深いのは、口座に残されていた金額によって異なる価格を設定していた点だ。

Glendeは2016年3月、「ハッキングされたSunTrust Bankのアカウント情報、残高100ドル〜500ドル」というタイトルで宣伝を書き込んでいる。このとき彼が提示した販売価格は9.99ドル（約1000円）だった。この「商品」は過去に32件販売されたと考えられている。

そして2016年5月にGlendeが投稿した「SunTrust Bankの高額残高、残高3万〜15万ドル（約300万円〜1500万円）口座のログイン情報を売ります」という書き込みには、次のような説明が記されていた。「SunTrust Bankからハッキングされたばかりのフレッシュな口座のログイン情報をお届けします。この（銀行の）口座はセキュリティが弱いことで知られています」。こちらの商品に提示された販売価格は前回の約7倍の66.99ドル（約7000円）だった。

銀行口座のログイン情報は、闇市場で売買される盗品として、それほど珍しい商品ではない。またGlendeが説明したとおり、SunTrust Bankはハッカーたちの間で狙われやすい銀行なのかもしれない。実はダークウェブに潜るまでもなく、ちょっと工夫してGoogle検索を使えば、「SunTrust Bankのログイン情報」の販売をほのめかしている怪しいページがいくつか見つかる。

それらを見るかぎり、Glendeが3月に提示した「9.99ドル」はほぼ相場どおりである一方、5月に提示した「66.99ドル」は強気な価格設定であるように感じられる。しかし「高額残高の口座のみを厳選している」というセールスポイントには魅力があったのだろう、こちらも11件の売買が行われたようだ。

AlphaBayで実際にIcyEagleと取引を行った人物の説明によると、彼の販売した情報一式には、「SunTrust Bankの顧客5人分のユーザー名、パスワード、住所、メールアドレス、電話番号、口座番号」が含まれていたという。

もしも被害者が盗難に気づき、すでにログイン情報を変更していたなら、どれほど高額残高の口座のログインを手にいれたところで、1セントたりとも金を引き出すことはできない（だからこそGlendeは、盗みたてホヤホヤのアカウントだと宣伝している）。しかし、これだけの情報が揃っている場合は、「残高を空っぽにする」以外にも様々な悪用が可能だろう。

「盗まれたデータ」はどのように収集されたのか？

Glendeが販売していた情報は、誰がどのようにして盗み出したものなのかは司法省の説明に明記されていない。またダークネットでは商品の転売も盛んに行われているので、出品者が盗難に関わっているとは限らない。しかしGlendeは「銀行詐欺（Bank fraud）」「アクセスデバイス詐欺（Access device fraud）※」に加えて「深刻なID窃盗（Aggravated identity theft）」に関与した罪でも告訴されているため、直接SunTrustをハッキングして情報を盗んだ嫌疑もかけられているのだろう。

※この「アクセスデバイス」とはインターネットにアクセスするITデバイスのことではなく、銀行のカードやカード番号、コードやパスワードなど、口座にアクセスするために利用される全てのものを指す

この点について、7月28日の『11alive』（米NBC傘下のニュースプログラム）は次のように伝えている。「11Alive Newsが入手した米当局の資料によると、GlendeはSunTrustの顧客のアカウントをハッキングし、パスワードを盗んだ」

11aliveは、ジョージア工科大学の博士研究員Yacin Nadjiのコメントも伝えている。「このような事件は、被害者が気づかぬうちに悪質なメールを通してマルウェアがダウンロードされるところから始まる」と説明したNadji氏は、続けて次のようにコメントした。

「ダウンロードされたマルウェアは、あなたのマシンで動作する。したがって、あなたが銀行口座のサイトにアクセスするとき、それは『タイプされたユーザー名とパスワード』を知ることができる。この場合、たとえあなたがパスワードを変更しても次回のログイン時には再びあなたの情報が彼らに知られることになる」

つまり今回の犯行は、典型的なバンキングマルウェアを用いたGlendeが、それぞれの被害者のマシンから情報を収集し、それを販売したものと考えられているようだ。

FBIによる「ダークウェブの潜入調査」

ダークウェブのサイトから容疑者が特定されるたび、セキュリティ関係者が真っ先に確認したがるのは、「Torを利用している犯人を、警察機関はどのようにして割り出したのか？」だろう。米司法省の説明には、FBIの一人の秘密捜査官が2016年の3月から4月にかけてAlphaBayに複数回アクセスして実際にIcyEagleの「商品」を購入し、また代金もBitcoinで支払っていたことが記されている。今回の事件でFBIが決行したのは「顧客のふりをして直接IcyEagleと連絡を取る」という囮作戦だったようだ。これは以前にお伝えしたチャイルドポルノの一斉検挙の手法とは大きく異なっている。

IcyEagleの販売していたものが、まさしく本物の盗品（ハッキングされた銀行口座の情報）であることを確認したあと、捜査官がどのようにGlendeを特定したのかは説明されていない。とはいえ、ただダークウェブで行われているやりとりを外から調査するのではなく、直接的な取引を行うことを通して様々なチャンスが開けたのであろうことは想像に難くない。

FBIアトランタ支局のJ. Britt Johnsonは次のようにコメントしている。「サイバー犯罪者の脅威は、この米国と国外の一般市民にとって増加の一途をたどっている問題だ。だが『それらの犯罪者たちがどれほど深くデジタルの闇の部分に潜ろうとも、FBIは彼らを特定し、見つけ出し、逮捕し、起訴しようとする努力を止めはしない』ということが、今回の事件の捜査（および結果としてもたらされる逮捕）で明確に示されるだろう」

しかし司法省も説明しているとおり、匿名サービスの中で行われた電子的な犯罪の証拠を提示することは困難である。もしもGlendeが容疑を否認したなら、警察機関は「合理的な疑いを超えて」罪を証明できなければ彼を有罪にすることができない。FBIが手を煩わされる時間はまだまだ終わらないだろう。そして今回のIcyEagleの犯行は、「一般市民の銀行口座に対して行われているオンライン詐欺やハッキング活動」としても、また「ダークウェブで横行している犯罪者の活動」としても、ほんのごく僅かな割合を占める一例に過ぎない。