当局や脅威インテリジェンスのアナリストは、ランサムウェアのオペレーターを摘発することに大きな意義を感じている。サイバー犯罪者を逮捕、投獄、あるいは真の更生によって責任を問うことは、強力な抑止力となり、すべての人にとってより安全なインターネットという最終目標の実現に近づく。
しかし、その段階に到達するのは防御側にとって非常に困難な作業だ。ランサムウェア攻撃は、米国との犯罪人引き渡し条約がない、または国際的な法執行機関と協力しない国に住む人々によって開始されることが多い。そうした障害がない場合、当局はサイバー攻撃の責任者を追跡し、法の裁きを受けさせるためのリソースを集めることができる。
サイバー犯罪との戦いは過酷であり、勝利が損失を上回ることはめったにない。過去10年近く、警察はサイバー犯罪者の逮捕を大々的に発表し、裁判日まで拘留し、不正に得た利益を押収してきた。これらの行為は、サイバー犯罪が重大な犯罪であり、当局が迅速かつ目に見える形で法を執行しているという明確なメッセージを一般市民や潜在的な犯罪者に送っている。
イアニス・アレクサンドロヴィチ・アントロペンコは現代のサイバー犯罪者の典型例だが、同様の犯罪で厳しく起訴された多くの者とは異なり、司法省は彼に対してこの種の容疑者にはめったに与えられない自由を認めている。
36歳のロシア国籍のアントロペンコは、2018年5月から2022年8月までに複数のランサムウェア攻撃に関与した疑いで、約1年前にカリフォルニアで逮捕された。しかし、逮捕当日に保釈され、現在も南カリフォルニアでほとんど制限なく複数の重罪での裁判を待って生活している。
アントロペンコは、コンピュータ詐欺および不正使用の共謀、コンピュータ詐欺および不正使用、マネーロンダリングの共謀で起訴されている。彼はZeppelinランサムウェアを使用し、米国内の被害者を含む世界中の複数の個人、企業、組織を攻撃したとされている。
アントロペンコは2023年10月に無罪を主張した。
司法省は最近、2024年2月にアントロペンコから280万ドル以上の暗号通貨、約71,000ドルの現金、2台の高級車を押収したと発表した。彼の容疑については、先月当局が複数の裁判資料を公開したことで初めて公になった。
アントロペンコの逮捕と裁判待ちは、ランサムウェア対策の新たな勝利となる可能性があるが、多くの専門家は彼が保釈中であることに驚きを隠せない。このような著名なサイバー犯罪容疑者の事件で異例の猶予が与えられていることは、2024年の逮捕以降、彼が複数回警察とトラブルを起こしていることを考えると、さらに衝撃的だ。
アントロペンコは今年の4か月間で少なくとも3回、保釈条件に違反しており、そのうち2回は薬物やアルコールの影響下で危険な行動をとったとしてカリフォルニアで逮捕されている。当局はなぜアントロペンコを裁判まで釈放したのか、またなぜ保護観察官や判事がこれらの違反後も彼を繰り返し釈放し続けたのか説明していない。
「平均すると、ほとんどのランサムウェア実行者は、身柄を拘束された場合、逃亡の恐れがあるため拘留されます」とHalcyonのランサムウェア研究センター上級副社長、シンシア・カイザーは述べた。
「米国でランサムウェア実行者が身柄を拘束されるのは珍しいことです」と、元FBIサイバー部門副部長はCyberScoopに語った。「通常、FBIが逃亡の恐れがあると判断すれば、保釈を認めないよう主張します。」
テキサス北部地区連邦地方裁判所の検察官は、本件でアントロペンコを逃亡の恐れがあるとは指摘しなかった。
過去1年間、他のランサムウェア容疑者やサイバー犯罪者—ノア・アーバン、キャメロン・ワゲニウス、コナー・ムーカ、アルテム・ストリジャクら—は全員、裁判まで拘留されていた。アーバンは先月10年の懲役を言い渡され、ワゲニウスは一部の罪を認めた。ムーカとストリジャクは国外で逮捕され、米国に引き渡された。
サイバー犯罪容疑者の裁判前の扱いは、特に被告の精神的健康状態が考慮された場合、必ずしも厳格な基準に従ってきたわけではない。2019年7月にCapital Oneや他多数の組織からデータを盗み、暗号通貨マイニングを行ったとして逮捕されたペイジ・トンプソンは、検察から「重大な逃亡の恐れ」とされたが、4か月後に保釈された。
シアトルの連邦地裁判事は、トンプソンが地域社会に脅威を及ぼさないと判断し、弁護士に対し「連邦刑務所で十分な精神的治療が受けられないことを非常に懸念している」と述べていた。
トンプソンは複数の罪で有罪となり、2022年10月に服役期間と5年間の保護観察処分を言い渡されたが、検察はこれに不満を示した。連邦控訴裁判所は今年初め、地裁判事の判決を不当に軽いとし覆した。
ロシア国籍のイェフゲニー・ニクリンは、2016年10月にLinkedInやDropboxなどの1億1700万件のパスワード流出事件に関連して逮捕され、2018年にチェコから米国に引き渡され、裁判を受ける能力があると判断された。彼は裁判まで拘留され、2020年9月に88か月の懲役を言い渡された。
これら過去の事例の違いはあるものの、専門家の中にはアントロペンコの事件の他の不規則性、特に保釈条件に注目する者もいる。彼はインターネットやコンピュータの使用を禁止されていないが、監督下で申告したデバイスやサービスに限定され、監視対象となっている。
脅威アナリストやサイバーセキュリティ捜査を専門とした元FBI特別捜査官によれば、より寛大な保釈条件は通常、協力の見返りとして与えられるという。
「彼を追跡した捜査官たちは、より大物の情報を知りたがるだろうし、他に誰を摘発できるかを探っているはずです」と、匿名を条件に語った元FBI特別捜査官はCyberScoopに述べた。「もし彼が協力する意思があるなら、連邦制度は通常、良い待遇をしてくれます。」
当局はアントロペンコに渡航制限を課し、パスポートの提出を求め、ロシア大使館や領事館への立ち入りを禁止し、居場所を監視している。
数年にわたる悪質な行動
アントロペンコに対する連邦事件は、限られたリソースが法執行機関や連邦捜査官をサイバー犯罪の絶え間ない波に対して不利な立場に追い込むことを浮き彫りにしている。
FBIと検察は、アントロペンコがランサムウェアを展開し、メールで被害者を脅迫したと非難し、彼と元妻のヴァレリア・ベドナルチクがランサムウェアの収益のマネーロンダリングに関与したと指摘している。捜査官は身代金支払いの経路やマネーロンダリングの手法・サービスを追跡し、押収した口座や現金、車両が犯罪収益に由来することを特定した。
FBIは、アントロペンコのメールアカウントchina.helper@aol.com(2018年5月に登録)で少なくとも48の暗号通貨アドレスを確認したと述べている。その中には「身代金支払いを受け取ったり交渉したメール」や他のランサムウェア攻撃に関するメールも含まれていた。
アントロペンコが所有するビットコインアドレスのクラスターは、2024年2月5日時点で「合計約101ビットコイン」を受け取っていた。このうち64.6ビットコインは暗号通貨ミキシングサービスChipMixerに送られていた。現在のレートでは、101ビットコインの価値はほぼ1,090万ドルに相当する。
犯罪者が2017年から30億ドル以上の暗号通貨を洗浄するために利用していたChipMixerの2023年摘発は、この捜査に決定的な証拠をもたらしたと、Flashpointのインテリジェンス担当副社長イアン・グレイは述べている。
「法執行機関がChipMixerのインフラを押収して初めて、アントロペンコ名義で登録された口座に関連する資金の流れを追跡できた」と彼は語った。「ビットコインの追跡やクラスタリング技術の高度化も、法執行機関がソフトウェアやツールをより広く採用したことで、摘発のタイミングに寄与した可能性が高い。」
検察は、アントロペンコとベドナルチクがコンピュータ詐欺の被害者からChipMixerを通じて資金を自分たちの取引所口座に戻したと主張している。アントロペンコはまた、米国内で暗号通貨から現金への対面交換を手配し、1万ドル未満の小口で銀行口座に入金していたとされる。
FBI捜査官は、アントロペンコがProton Mail、PayPal、バンク・オブ・アメリカの口座を利用していたこと、また彼とベドナルチクがBinanceやAppleの口座を管理していたことを突き止めた。ベドナルチクのiCloudアカウントからは、アントロペンコの口座から40ビットコイン以上を受け取った暗号ウォレットのシードフレーズや、アントロペンコが利用できなくなった場合に備えてこのフレーズの偽装コピーを保管することに同意した証拠が見つかった。彼女のアカウントにはアントロペンコとの共同確定申告書や大量の米ドル現金の写真も含まれていた。
当局はまた、アントロペンコとベドナルチクがかつてカリフォルニア州アーバインで共有していたアパートから現金と2台の高級車も押収した。これには、アントロペンコが2022年11月に12万3,000ドル以上で購入したレクサスLX 570と、2021年11月にアントロペンコとベドナルチクが現金15万ドルで購入した2022年式BMW X6Mが含まれている。これらの車両と一致する写真がアントロペンコの公開Instagramアカウントに掲載されている。
他の事件でも、ランサムウェアオペレーターが配偶者に支援されることはあったが、パートナーの関与は通常マネーロンダリングに限定されると、Recorded Futureの脅威インテリジェンスアナリスト、アラン・リスカはCyberScoopに語った。
現在、多くのランサムウェアオペレーターや関係者はロシア国外で活動しているが、アントロペンコのように米国内に住みながら長期間ランサムウェア攻撃を行っていたロシア国籍者は珍しいとリスカは述べた。
「彼は他の人物、もしかすると当局が追及できる大物について追加情報を持っていたのかもしれません」と彼は語った。
テキサス北部地区連邦地方裁判所は質問や追加情報の提供を拒否した。アントロペンコの最新の代理人弁護士もコメント要請に応じなかった。
アントロペンコは、検察の主張によれば、サイバー犯罪の被害者だけでなく、身近な人々にも被害を与えていた。ベドナルチクによると、アントロペンコは2022年4月と5月に彼女が申請した一時的な接近禁止命令で家庭内暴力を訴えられている。
ベドナルチクは、裁判資料や公的記録を通じてアントロペンコの匿名共謀者として特定されている。当局は彼女を起訴する予定だとしているが、現在進行中の事件はない。
裁判資料で、ベドナルチクはアントロペンコとの支配的な関係を描写し、「彼はお金をたくさん持っているからと、常に息子の親権を全面的に取ると脅してくる」と書き、彼が許可なく子どもをロシアに連れて行くのではないかと恐れていると述べている。
裁判記録によると、家族はマイアミ、後にアーバインで2022年まで一緒に暮らしていた。ベドナルチクは自身の衣料品ビジネスからの月収を800ドルと申告していたが、アントロペンコは「暗号通貨の配当」で月5万ドルを稼いでいると推定し、「家族の大黒柱」と表現していた。
2024年9月にアントロペンコが逮捕された際、ベドナルチクが1万ドルの保釈金を支払い、宣誓供述書で自身を元妻と記載した。
「彼女が匿名化されているのは、被害者であるか、法執行機関と協力して名前の匿名化が認められたかのどちらかでしょう」とSilent Pushの上級脅威アナリスト、ザック・エドワーズはCyberScoopに語った。
アントロペンコとZeppelinランサムウェアの関係
当局はアントロペンコがZeppelinランサムウェアにどの程度関与していたかを明らかにしていない。検察は一部の裁判資料で匿名の共謀者に言及しており、ランサムウェア・アズ・ア・サービスの運営に関与した他者の存在を捜査または把握していることを示している。
米国サイバーセキュリティ・インフラストラクチャー庁によると、Zeppelinランサムウェアの被害者には、防衛請負業者、教育機関、製造業、テクノロジー企業、医療・ヘルスケア業界の組織など幅広い企業や重要インフラ組織が含まれる。
ZeppelinはDelphiベースのVegaマルウェアの亜種で、少なくとも2019年から2022年半ばまで使用されていたと同庁は2022年8月の勧告で述べている。CISAの勧告に含まれる身代金要求書には、身代金支払いに関する連絡用としてAOLアドレスが記載されていた。
アントロペンコの事件を担当する検察や捜査官は、Zeppelinランサムウェアが2020年3月以降、米国内で約138件の被害をもたらし、ダラス地域に本拠を置くデータ分析会社とそのCEOも含まれていると述べている。
検察は一貫してアントロペンコの事件を「複雑」とし、証拠は被害者の氏名、住所、写真、銀行口座番号などの個人情報を含めて7テラバイトを超えると述べている。
リスカによれば、Zeppelinとアントロペンコの疑われる活動は、ランサムウェアの第2波の時期に増加した。この時期、多くのサイバー犯罪者が手探りで活動し、法執行機関の動きも鈍かった。「最初にミスを犯せば、そのミスは必ず後で自分に返ってくる」と彼は語った。
実際、脅威研究者やアナリストは、アントロペンコの摘発は「ずさんな」行動や運用によるものだと指摘している。彼は主要な米国サービスプロバイダーを利用していた。
「アントロペンコのオペレーショナルセキュリティは非常にずさんだった」とグレイは述べた。
「彼はランサムウェア運用のリカバリーメールとリンクした個人のPayPalアカウントを使い、銀行口座とランサムウェア口座で同じユーザー名を使い、暗号通貨のシードフレーズや大量の現金写真などの機密情報をiCloudアカウントに保存していた。こうしたOPSEC(運用上のセキュリティ)上の失敗が、最終的にアントロペンコ特定につながった」と続けた。
保釈中の違反行為
検察がアントロペンコの裁判日を2026年2月6日まで先送りする中、彼の私生活は崩壊しつつある。2024年12月31日、彼は精神的健康上の理由で入院し、行動健康病院で1週間過ごしたと保釈違反報告書に記されている。
アントロペンコは保護観察官に、元妻が突然息子を連れて行ったことで深い抑うつ状態となり、アルコール摂取量が増えたと話している。「RVパーク内を酩酊状態で歩いていたところ、見知らぬ人物に声をかけられ、正体不明の薬物を勧められた。おそらくメタンフェタミンの一種だと思った」と保護観察官は裁判資料に記している。
アントロペンコはその後の出来事をほとんど覚えていないと述べた。翌朝、警察が到着しパトカーに乗せられた際、「逮捕されると思い込み、うつ状態が悪化してパトカーの窓に頭を打ち付け、その後病院で意識を取り戻した」と保護観察官は述べた。起訴はされなかった。
そのほぼ2か月後、アントロペンコはカリフォルニア州リバーサイド郡で公衆酩酊により逮捕された。道路の中央分離帯で反応がない状態で発見された。アントロペンコは保護観察官に、家の近くの縁石に座ってタバコを吸い、ビールを4~5本飲んで疲れていたので寝てしまったと説明した。翌日釈放された。
テキサスの連邦判事はアントロペンコの保釈継続を認め、保釈条件にアルコール摂取禁止と定期的なアルコール検査を追加した。
「これほど多くの薬物違反があっても保釈が取り消されないのは異例です」とカイザーは述べた。「もし彼が今も他者に対して犯罪を続けているなら、あまりにも寛大すぎますが、現状では自傷行為のようです。」
4月には、アントロペンコが自発的に保護観察官にコカイン使用を認めたと、5月に提出された裁判資料に記されている。「被告は友人の妹の誕生日会に出席した際、トイレで『見知らぬ人たち』にコカインを勧められた」と保護観察官は述べた。裁判所は追加措置を取らなかった。
「たとえ彼が協力証人であっても、通常よりはるかに多くの自由を与えられている」とリスカは述べた。「これほど高い知名度の人物が、協力しているか否かにかかわらず、これほどの自由を与えられた前例は思い当たりません。」
エドワーズもまた、アントロペンコが裁判を待つ間、保釈中であることに落胆している。
「深刻な世界的脅威アクターと協力した疑いでランサムウェアキャンペーンを主導したとして起訴されているロシア人が、保釈中にアルコール関連で複数回逮捕され、路上で倒れていたり、コカイン使用も認めているのに、なお保釈が取り消されていないのは異常です」と彼は述べた。
元法執行機関関係者は、アントロペンコの事件の状況について、セキュリティアナリストほど驚いていない。
Arctic Wolfの最高情報セキュリティ責任者アダム・マレは、アントロペンコに与えられた逮捕後の特権はそれほど異常ではないと述べている。特に、アントロペンコの保釈違反がサイバー犯罪とは無関係であるためだ。
マレは、アントロペンコの違反行為はFBI特別捜査官時代なら苛立っただろうが、裁判所の判断は理解できるとし、「人は有罪が確定するまでは無罪とされる」と付け加えた。
カイザーによれば、FBIは結果重視であることが重要だという。「被害者に盗まれたお金を返すことの方が、誰かを罰することより重要です。特に彼がもう[ランサムウェア]活動をしていないなら」と彼女は述べた。
「こうした人物を逮捕し阻止すること自体が難しく、長期間にわたって抑止するのは非常に複雑です」とカイザーは続けた。「この種の活動を止める唯一の逮捕というものは存在しません。」
翻訳元: https://cyberscoop.com/ianis-antropenko-zeppelin-ransomware-russian-cybercrime/