スペインで1億4,000万ユーロ規模のサイバー詐欺グループを摘発

3カ国と1つの大洋をまたぐ法執行機関の連携により、スペインのサイバー犯罪ネットワークと、その巧妙なマネーロンダリング組織が摘発されました。

7月13日、スペイン国家警察が明らかにしたところによると、今回のイベリア半島の犯罪組織摘発はワールドカップ準決勝級の規模となりました。同組織は70人を超える構成員を抱え、19社の登録企業と約1,000件の金融口座を保有していました。

構成員の大半は、サイバー犯罪による収益の洗浄に使われていました。この作戦の中核を担ったハッカーたちは2つの「司令塔」を拠点に活動し、中間者(MitM)攻撃、CEOなりすまし詐欺、偽の請求書を使ったソーシャルエンジニアリング攻撃、そして偽の投資プラットフォームを用いた詐欺を実行していました。総額で少なくとも1億4,000万ユーロ(1億6,100万ドル)を盗み取ったとみられています。当局は、このうち6,100万ユーロを2024年に行われたCEOなりすまし攻撃によるものと結び付けています。

逮捕と押収

警察が強制捜査に踏み切った時点で、まもなく盗まれるはずだった300万ユーロ(340万ドル)を凍結・回収することに成功し、これらの資金は後に被害者へ返還されました。

今回の作戦全体で、当局は組織の活動拠点からコンピューター15台とスマートフォン170台を押収しました。この摘発の規模は決して侮れるものではなく、最近のユーロポールによる摘発作戦にも匹敵しますが、東南アジアで行われたより大規模なサイバー犯罪摘発と比較すれば、相対的には氷山の一角に過ぎません。

この計画の中核メンバー4人が逮捕されました。その中には、最近スペインからポルトガルのポルトへ移り住んでいた匿名の「主犯格」も含まれており、自宅で交際相手とともに身柄を拘束されました。もう1人の主要容疑者は、自宅から詐欺代理店を運営し、グループの金融インフラを管理していた、いわゆる「マネーミュール(運び屋)の元締め」とされる人物で、パナマ渡航中に逮捕されました。

これまでの多くの事例と同様に、今回のサイバー詐欺作戦もピラミッドの底辺が厚い構造だったようです。当局が悪質なサイバー活動への関与を名指ししたのはわずか4人で、残る67人以上はマネーミュールとして働く末端構成員でした。

サイバー犯罪におけるマネーロンダリング

暗号資産を主軸としないサイバー犯罪組織は、法執行機関の目が届かない場所へ現金を移動・引き出すために、あるいは少なくとも当局の追跡が追いつかないほどの速さでそれを行うために、常に余分な労力を割く必要がありました。それは、数百台ものATMを電光石火の早業で回るような手口だったり、あるいは警察の裏をかく何らかの巧妙な抜け道を利用する手口だったりします。

Atredis Partnersのプリンシパルセキュリティリサーチャーであるマット・バーチ氏は、「(マネーミュールは)多くの場合、不法移民です」と指摘します。今回のケースでも、作戦の首謀者たちはスペインへ渡航して運び屋として働く外国人を勧誘していました。「その理由の一つは、彼らが逮捕された場合、当局の尋問を受ける前に通常は国外退去となるため、実際に組織を動かしている中核メンバーを守る盾になるからです」と同氏は説明します。

これらの運び屋たちは、新規の銀行口座を開設できるよう企業を登録させられていました。ハッカーから運び屋への資金移動は、19社の法人、120件の加盟店口座、800件の銀行口座を経由して行われていました。さらにこれらの銀行口座自体も階層化されており、不正資金は物理的に引き出される前に複数の金融経路を経て、複数の国をまたいで送金されていました。

サイバー犯罪の摘発においては、金融構造やその手続きを解体することが、他のどの側面にも劣らず重要です。「サイバー犯罪者はサーバーやドメインを素早く入れ替えることができますが、銀行口座や(ペーパーカンパニーを含む)シェルカンパニー、マネーミュールといった、信頼を積み重ねた金融ネットワークを再構築するのはずっと困難です」と、ColorTokensの連邦担当最高技術責任者(CTO)であるルイ・アイシェンバウム氏は語ります。「スペインの今回の作戦は、短期的には意味のある混乱をもたらすはずですが、その効果が持続するかどうかは、当局が押収した金融インテリジェンスをさらなる逮捕、資産回収、そして組織に残るインフラへの対応にどこまでつなげられるかにかかっています」。

取り締まりだけでは不十分

理想を言えば、スペインによる今回の法執行の取り組みは、すでにわずかながら減少傾向にある同国のサイバー犯罪率にさらに寄与するはずです。この傾向は、世界の他の一部地域でも見られます。スペイン内務省が公表した最新の全国報告書によると、長年にわたり一貫して増加を続けてきた同国のサイバー犯罪は、2024年に1.6%減少したとのことです。

ボットネットを取り巻く摘発事例や脅威パターンを研究するQrator LabsのCTO、アンドレイ・レスキン氏は、「大規模な法執行機関による摘発は間違いなく価値のあるものですが、サイバー犯罪に対する恒久的な解決策となる可能性は低いでしょう」と主張します。

「テクノロジーは規制の枠組みや取り締まり能力よりもはるかに速いスピードで進化しており、攻撃者と防御側の間に不可避な非対称性の期間が生まれています」と同氏は指摘します。「もう一つの大きな課題は、被害者、攻撃インフラ、そして脅威アクターがそれぞれ異なる法域に存在することが多い点です。ある組織がある国で標的にされ、攻撃インフラは別の国でホストされ、実行犯はさらに別の第三国にいるといったケースもあります。証拠を収集し、捜査を調整し、最終的に責任者を訴追するまでの道のりは、極めて複雑な国際的取り組みとならざるを得ません」と同氏は説明します。

「結局のところ、議論は『警察対ハッカー』という構図を超えて、エコシステム全体のセキュリティへと向かうべきです」と同氏は主張します。さまざまな種類のサイバー犯罪において、「長期的な進展は、(サイバー犯罪が)発生した後にそれを解体することだけでなく、インターネットに接続される脆弱なデバイスの数を減らすこと、デバイスメーカーの基本的なセキュリティ要件を引き上げること、ベンダー・インターネットサービスプロバイダー・セキュリティ企業・法執行機関の間の連携を強化すること、そして何よりも大規模なサイバー犯罪組織がそもそも成立し存続すること自体をはるかに困難にすることにかかっています」。

翻訳元: https://www.darkreading.com/threat-intelligence/police-disrupt-140m-euro-cyber-fraud-ring-spain

ソース: darkreading.com