コンテンツにスキップするには Enter キーを押してください

国際犯罪組織が米国政府から数十億ドルを詐取

投稿日 2025年5月16日

2020年のCOVID-19刺激策小切手のクローズアップ

出典: AlamyストックフォトのSuzanne Plunkett

新しい推定によれば、国際的な犯罪組織が毎年数千億ドルを米国政府から盗んでいるとされています。

トランプ政権の2期目の最も大きな目標の一つは、政府の無駄遣いと見なされるものを削減することでした。例えば、数千の仕事や連邦資金プログラムです。しかし、それはスムーズには進まず、多くの怒りを引き起こしましたが、もしお金を節約することが目標であるなら、政府が資源を投入することを検討すべき非党派的な分野が一つあります。

先月、米国政府説明責任局(GAO)は、米国政府が毎年2,330億ドルから5,210億ドルを詐欺で失っていると推定しました。言い換えれば、納税者のお金が犯罪者によって、ハンガリーやカタールのような国の年間国内総生産(GDP)に相当する割合で吸い取られています。

Socureの公共部門責任者であるジョーダン・バリスは、それでも低めの推定かもしれないと考えています。COVID-19パンデミックの間、「連邦政府は詐欺を測定するための基盤を設置し始めたばかりでした。したがって、今日推定されている数字を見ると、それが連邦および州の組織全体での身元詐欺によって起こっていることの全体を考慮していないことは明らかです。」

関連:Marks & Spencer、サイバー攻撃で顧客データが盗まれたことを確認

「現実には」と彼は言います、「政府のプログラムは国際犯罪組織によってATMのように扱われています。」

ID窃盗犯が米国政府を騙す方法

詐欺師が政府から盗むために使用する弾薬は、すべての個人識別情報(PII)がデータ漏洩でオンラインに漏れたものです。

「私たちの情報はすべてダークウェブで入手可能です。攻撃者がその情報を収集し、今日の多くの機関に存在する一貫性のない、または脆弱な詐欺対策を打ち破るのは簡単です」とバリスは言います。「多くの機関は、打ち破られることが証明された認証方法に依存しています。これは、あなたが本物の人間であるかどうかを確認するために社会保障番号(SSN)を尋ねるような単純なことかもしれません。または、例えば『10年前にこの住所に住んでいましたか?』といった質問をするかもしれません。現実には、それらは敵によって簡単に打ち破られます。」

Socureの最近の報告によれば、政府の詐欺の5件中4件は本物のアメリカ人の身元を含んでいます。悪意のある者は、政府の補助金の申請を行い、本物の人のPIIを提供しながら自分の連絡先情報を使用します。

もちろん、本物の人々は自分の身元が盗まれたことに気づく傾向があるため、よりリスクを避け、創造的な攻撃者は合成アイデンティティを同じ目的で使用しています。これらのケースでは、Socureは、偽造されたPIIにパターンがあることが多いと指摘しました。オンラインユーザーIDや偽のSSNに繰り返しのパターンがあったり、ばかげた言及や卑猥な言葉を含むメールアドレスがあったりします。時には、架空のSSNがその架空の人物が生まれた年に基づいて割り当てられるはずの番号と一致しないなど、より微妙な不一致もあります。

関連:CISA、低CVSSスコアにもかかわらずTeleMessageの脆弱性を警告

通常、詐欺師は1つの政府機関を詐取するだけでは満足しません。詐欺の試みの約4分の1は複数の機関で繰り返され、詐欺師は同じ身元を使用して民間部門の組織を標的にします。

二重に詐取する場合、多くの攻撃者はゆっくりと行動し、攻撃の間に数日または数週間を置きます。これは合成IDを含むケースでは自分の都合で、身元盗難のケースでは一度にあまり多くの警報を引き起こさないようにするためです。しかし、時には攻撃者が1日に複数の詐欺を試み、被害者が気づいて反応する前にできるだけ多くの損害を与えることもあります。

政府ができること

振り返ってみると、SocureはCOVID-19の刺激策を無駄にされた目覚ましとして強調しています。政府はその期間中に経済を支えるために4兆ドル以上を費やしましたが、多くの普通のビジネスオーナー、新たに失業した個人、普通の市民が割り当てられたものを受け取る一方で、詐欺師たちは自分たちのためにかなりの部分を取っていきました:数千億ドルの納税者資金、もしいくつかの推定が正確であれば。

関連:LockBitランサムウェアギャングがハッキングされ、運営データが漏洩

無謀な詐欺に対処する代わりに、バリスは、これらの攻撃は今日でも依然として可能であると言います。実際、スケールを助ける進化する人工知能(AI)技術のおかげで、さらに可能性が高まっています。

彼が考える解決策は、より長い申請フォームにより多くの個人情報を記入することではありません。「負担は、オンラインで自分が誰であるかを証明し主張するために公衆にかけられるべきではありません。代わりに、この種の悪意のある活動を検出するために、すでに存在するものの力を活用するべきです。」

「とても簡単です」と彼は続けます。「こう考えてみてください:何らかの理由で、あなたがカリフォルニアで政府の援助を申請していると言っているのに、IPアドレスがロシアから来ていて、あなたと関連付けられたことのないメールアドレスを使用している場合、それが通過することが許されるべきでしょうか?」実際、Socureは中国、インド、フィリピン、ポーランド、ロシア、南アフリカなどから使い捨てのメールアドレスを使用して米国から盗む犯罪組織を特定しました。

「アメリカの公衆の一員に届かないドルはすべて、犯罪組織や人身売買からテロ活動まで、悪意のある活動に使用している国家主体に行っていると考えて間違いありません」と彼は警告します。

翻訳元: https://www.darkreading.com/threat-intelligence/international-crime-rings-defraud-us-govt-billions

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です