米司法省は月曜日、サイバー犯罪グループが銀行口座から数百万ドルを盗むために使用していたウェブドメインとパスワードデータベースを押収したと発表した。
司法省(DOJ)によると、押収されたドメインweb3adspanels.orgは、サイバー犯罪者が盗んだ数千件の銀行ログイン認証情報を保存・操作するために使用していたバックエンドのウェブパネルをホストしていた。
脅威アクターは、GoogleやBingなどの検索エンジン上の悪意ある広告を用い、ユーザーを偽の銀行ウェブサイトへ誘導する大規模な銀行口座乗っ取り計画を実行していた。
これらのフィッシングサイトは被害者をだましてログイン認証情報を入力させ、サイバー犯罪者はそれを用いて口座にアクセスし、預金を引き出していた。
FBIは米国内で、企業2社を含む約20人の被害者を特定しており、サイバー犯罪者が約2,800万ドルの窃取を試み、実際の損失は約1,460万ドルと推定されると判断した。
作戦に参加したエストニアの法執行機関は、「計画を推進するために使用されたフィッシングページと盗まれたログイン認証情報をホストするサーバーからデータを保全し、収集した」とDOJは述べた。
司法省は、逮捕や起訴については言及していない。
この発表は、FBIが報告した、口座乗っ取り計画に関与するサイバー犯罪者が2025年1月以降に2億6,200万ドル超の損失を引き起こしたという内容から、1か月も経たないうちに行われた。
DOJの発表はまた、データ侵害通知サービス「Have I Been Pwned」(HIBP)の管理者であるトロイ・ハントが、FBIが分析のために侵害された6億3,000万件のパスワードのコレクションを提供したことを明らかにした直後でもある。
HIBPは、メールアドレスに基づいて、ユーザーが自分の認証情報がデータ侵害で漏えいしたかどうかを確認できるようにするサービスだ。同サービスは170億件を超える認証情報をカタログ化している。
ハントの分析によれば、FBIが提供したパスワードは単一の侵害に由来するものではなく、サイバー犯罪マーケットプレイスやインフォスティーラーマルウェアなど、さまざまなソースから集められた可能性が高い。全体の7.4%に当たる約4,600万件のパスワードは、HIBPのデータベースには含まれていなかった。
ハントが分析したパスワードが、DOJの月曜日の発表と何らかの形で関連しているかどうかは不明だ。
