企業ネットワークへの盗まれたアクセスを販売したとして告発されていたヨルダン人の男が、米連邦裁判所で有罪を認め、数十社に紐づく不正なログイン認証情報を販売したことを認めた。司法省は、このサイバー犯罪経済において、アクセスブローカーが引き続き重要な役割を果たしていることを浮き彫りにする事件として、この答弁を確認した。
「r1z」などの別名を使用していたFeras Khalil Ahmad Albashitiは、ジョージア共和国を拠点にそれらの名義で活動していた。裁判資料および検察によれば、Albashitiは暗号資産と引き換えに、少なくとも50の被害組織のネットワークへの不正アクセスを販売していた。販売は2023年5月19日に、マルウェア、認証情報、ハッキングツールを取引する人物が集まるオンラインフォーラム上で行われた。
その取引の相手は、潜入捜査中の法執行機関の捜査官だった。Albashitiが引き渡した情報により、侵害されていることに気づいていなかった企業のデジタル環境へ直接侵入できる状態となった。捜査当局は述べているように、これらの認証情報には実際の価値があり、連邦のアクセスデバイス詐欺法における1,000ドルの法定基準を容易に超えていたという。
Albashitiは、アクセスデバイスに関連する詐欺を対象とする合衆国法典第18編第1029条(PDF)に基づき起訴された。これには、価値あるものを得るために、許可なく使用された場合のユーザー名やパスワードも含まれる。
彼は起訴状の提出を放棄し、ニュージャージー州トレントンでマイケル・A・シップ米連邦地裁判事の前で有罪を認めた。法定最高刑は、懲役10年および25万ドルの罰金、または犯罪による利益もしくは損失の2倍のいずれか大きい方である。
捜査はFBIが主導し、司法省国際局が支援した。同局は2024年7月にジョージアからのAlbashitiの身柄引き渡しを手配した。量刑言い渡しは2026年5月11日に予定されている。
検察はまた、元の財産が見つからない、移動された、または価値が失われた場合の代替資産を含め、犯罪による収益の没収も求めている。これは金融系サイバー犯罪事件、特に暗号資産が関与する事件では標準的な措置である。
ここ数か月、米連邦当局はサイバー犯罪事件で相次いで成果を上げている。2025年12月には、ウクライナ国籍の人物が、複数国にまたがる企業を標的とした世界的な恐喝スキームでNefilimランサムウェアを展開したとして、米国で有罪を認めた。
同じ月、米国のサイバーセキュリティ専門家2人が、ALPHVランサムウェアグループに関与する大規模な恐喝作戦での自らの役割を認めた。さらに2026年1月上旬には、商用スパイウェア製品pcTattletaleの創業者であるブライアン・フレミングが、違法監視に焦点を当てた画期的な連邦事件で有罪を認めた。
翻訳元: https://hackread.com/jordanian-man-pleads-guilty-sell-companies-stolen-logins/
