クレジットカード情報を盗み取って不正使用するサイバー犯罪組織は捕まえることができるのか?

クレジットカード情報を不正利用するハッカー集団

先週の日曜(15日)早朝に、偽造クレジットカードとみられるカードで総額約14億円が不正に引き出されるという被害があったそうです。

リンク コンビニで14億不正引き出し…17都府県一斉 : 読売新聞

東京や神奈川から大阪や福岡まで全国17都府県のコンビニATM約1400台で、日曜の朝5時過ぎから8時前までの約2時間半の間に計14億4000万円が引き出されたとのこと。

犯人グループは100人以上が各地で一斉に引き出したとみられ、使用されたカード情報は南アフリカの銀行から流出したものとのこと。警察当局は背後に国際犯罪組織が関与しているとみて、海外の捜査機関と連携して捜査を進めているそうです。

偽造クレカによる不正引き出し事件の構図

出典 http://www.yomiuri.co.jp/national/20160521-OYT1T50136.html#

で、この事件を受けて、こういった高度で大規模なサイバー犯罪をする犯罪組織は現状の捜査能力で捕まえることができるのだろうか?疑問を感じたので、その辺について考えてみました。

クレカ情報を不正利用した犯人グループは捕まるのだろうか?

こういった事件に関して特徴的なのは、マスコミがあまり積極的に報道しないこと。

3億円事件よりもはるかに被害額が大きいけど、たとえばこの件に関して言えばこの記事執筆時点でも既に1週間経っているというのに、ネット上のニュース記事で知った人以外はこの事件をほとんど知らない、テレビで報道していない、というのが現状。

なぜなのか?を考えた時、もしかしたら警察側が『捕まえるための有効な捜査手法がなく、この手の事件が大きく報道されて模倣犯が出てくるのを恐れている』のではないか?なんてことを思ってしまうのですが。

過去のクレカ情報の不正利用による多額の被害があった事件

日本国内でクレジットカードの情報が盗み取られ不正使用される被害は、平成20年からは減少していたものの、25年には増加に転じ、26年(2014年)には国内だけでも年間で約106億円もの被害額に上っているとのこと。
リンク クレジットカード不正使用、昨年100億円超 ネットショップ普及で被害拡大 – 産経ニュース

世界に目を向ければもっと現状は悲惨で、2013年には24時間で一気に40億円もの現金を不正に引き出される被害が起きています。(捕まったとの報道を少なくとも筆者は見ていない)

高度なサイバー犯罪:カード上限額の設定を無効化、預金残高も改ざん

2013年に起きた事件では、日本を含めアメリカやドイツ、フランス、アラブ首長国連邦、メキシコ、タイ、マレーシアなど、世界20カ国以上で同時に、不正に入手したカード情報を元に作成された偽造カードを使って現金が引き出され、24時間のうちに約40億円もの現金が盗まれたといいます。
参考 スーパーハッカー強盗団 24時間で40億円を不正に引き出す│NEWSポストセブン

この事件は「カード情報を不正に入手して、使用」というレベルの犯罪ではなく、銀行などの情報を管理するサーバーをハッキングし、不正使用する予定のカードの1度に引き出せる上限額の設定を無効にしたり、預金残高の額を勝手に改ざんし、大幅に水増しさせた状態で、世界中のATMから現金を引き出していたとのこと。

日本でもセブン銀行やゆうちょ銀行のATMを通して12人で計9億円を引き出しており、世界各国にもそれぞれ10人前後の仲間が送り込まれていたと見られています。

高度なハッキングをする中枢部隊と、現金を引き出す実働部隊がおり、その全貌はまだ掴めていないものの、状況から考えて数百人規模の巨大組織なのではないかと見られているそうです。

クレカ情報を販売する闇サイトの「偽サイト」も登場

アンダーグラウンドで取引されている、不正に入手されたクレジットカード情報。その情報を売り買いするための一つの場として、いわゆる「闇サイト」なるものがあります。

たとえばハッカー個人が、どこかのスーパーのサーバー・ネットワークに侵入し、そのお店の顧客情報を不正に入手した際、その情報をお金に換えるために誰かと取引しなければなりません。それをするための闇サイトの一つとして有名なのが「Rescator」というサイトです。

がしかし、「Rescator」は有名なため、今では「Rescator」のデザインをそっくり真似た偽物のサイトも出現。有名サイトの知名度を利用して、サイバー犯罪者たちを騙してお金を振り込ませる詐欺が発生しているとのこと。
参考 闇サイトでカード情報販売 – SWI swissinfo.ch
参考 クレジットカード情報を販売する「Lampeduza」の偽サイトを確認 | トレンドマイクロ セキュリティブログ

偽サイトのログイン画面

偽サイトのログイン画面

上図のサイトでは、『ロボットではなく人間がログイン操作をしていることの確認のために、アカウントの有効化に約5,000円(49ドル)分のビットコイン(0.1BTC)の支払いが必要』だとの旨の表示が出て、サイバー犯罪者たちから現金を詐取しています。

どんどん高度で複雑になっていくサイバー犯罪

へなちょこサイバー犯罪者たちは、より高度な技術や知恵を持ったサイバー犯罪者たちの仕掛ける罠によって、自らもサイバー犯罪の被害に遭ってしまう。そんな時代になっているようです。

しかもそこで使われる通貨?はビットコイン(Bitcoin)という、これまた何だか厄介というかややこしいもので。一般の人が事件の全貌を聞いてもどこが犯罪でどこが合法なのか分からず混乱してしまいそうな世界になってきています。

大規模ハッカー集団は捕まったのだろうか?

大規模な不正引き出し事件では、実働部隊のメンバーは監視カメラ映像などを通してギリギリ捕まえられるかもしれませんが、犯罪組織の中枢にいる高度な技術を持ったハッカーたちを捕まえることは果たしてできるのでしょうか?

今のところ被害額の大きさの割に「こんな大きなお金を盗み取ったハッカーを逮捕したぞ!」という大きなニュースは見聞きしていないので、恐らく現実には大規模ハッカー集団の中枢メンバーを捕らえることはできずにいるのではないでしょうか。

もしそうであれば、2013年に大きな事件が起き、そして3年後のつい先日にもまた大きな事件が起きた、ということを考えると、もしかしたらつい先日起きた事件は同じハッカー集団による犯行の可能性も考えられると思います。

もし仮にそうであれば、捜査当局はナメられたものです。国をまたいでの連携捜査をしていながら犯人を捕まえられないようでは、犯人グループはもうやりたい放題ですね。怖いものは何もないんじゃないでしょうか。盗み取ったお金の洗浄は話題のタックスヘイブンで行えばいいんだし。

おわり

最近では日本でも、サイバー犯罪に対処するために、サイバーセキュリティに強い人材を育てるための施策が行われたりしています。でもこうして大規模な事件が起きていて、マスコミも下手に報道できないような(恐らく深刻な)事態に陥っていることを考えると、やはり対策が遅すぎたと言わざるを得ませんね。

インターネットの普及だとか、コンピューターそのものに対しての、認識が甘すぎたと言えると思います。

我々国民も、国会で漢字テストを繰り広げてしまうようなアホな政治家に国政を任せてなんかいないで、やるべきことをやる政治家をちゃんと選べるようにならないといけないですね。

2 件のコメント

  • それだけ、クレジットカード情報って漏洩しまくってるってことですね~。
    ATMから抜き取られた14億円、この損害は?。
    一般的に、クレジットカードの利用者が確かに本人であるとの確認は、お店側にその責務があるから、本人確認を怠ったということでコンビニが責任取らないといけないのかな~。

    • >Mrc.さん
      ほんと、損害を補償するのって誰になるんでしょうね。国によっても法律が違いそうだし、カード会社や銀行によっても対応に違いがあるんですかね。
      クレカ使用時の本人確認だって、限度がありますよね。というかサインだけで本人確認できるわけないし。。

  • コメントを残す