スパイウェアを使った不正振り込み事件

(1/1)
スパイウェア
2005 年(平成 17 年)11 月、スパイウェアを使った事件としては日本で初めて逮捕者が出ました。容疑者はスパイウェアを使い、インターネットバンキング利用者のパスワードなどを盗み、不正な振り込みを行っていました。この事件では、アンチウイルソフトを導入しているにもかかわらずスパイウェアに感染してしまった被害者が出ました。また、容疑者は、アクセス履歴を隠すため、他人の無線LAN に乗り入れたりしていました。

ケース分析

2005 年(平成 17 年)11 月 10 日、スパイウェアを使った事件としては日本で初めて逮捕者が出ました。逮捕されたのは千葉県の無職男性(34 歳)で、不正アクセス禁止法違反と電子計算機使用詐欺の疑い。
容疑者は、スパイウェアを使い、インターネットバンキング利用者のパスワードなどを盗み、不正な振り込みを行っていました。11 月時点で、みずほ銀行、イーバンク銀行ジャパンネット銀行の 3銀行と、大川信用金庫(福岡県)の顧客の、法人・個人計10 口座から約 1,140 万円の被害が確認されています。また、この容疑者は、千葉銀行北陸銀行の顧客にスパイウエアを忍び込ませた CD-ROM が送りつけられた事件への関与もほのめかしています。さらに、2006 年(平成 18 年)1 月 26 日までに、このスパイウェアを作成した元 IT関連企業社員の男性(31 歳)が逮捕されました。スパイウェア作成者が逮捕されたのも、国内で初めてのケースです。

2006 年(平成 18 年)6 月 20 日、東京地裁で判決公判があり、裁判官は「コンピューターの知識を悪用し、利得目的で犯行に及んだ動機に酌量の余地はない」として、スパイウェア作成者に懲役 4 年(求刑懲役 6 年)の実刑を言い渡しました。

不正振り込みの手口

2004 年(平成 16 年)、有名女性歌手が何者かに銀行口座から多額の預金を引き出される事件があり、逮捕された容疑者は「パスワードがわかれば、簡単に金が取れる」と考えました。そこで、IT関係の企業に勤める知人の男(31 歳、指名手配中)に話を持ちかけました。彼らは、2004 年(平成 16 年)10 月頃、イーバンク銀行のホームページの偽サイトをつくり、アクセスしてきた顧客のパスワードを不正入手するフィッシング行為をはじめました。しかし、銀行側がフィッシング・サイトの存在に気づき対策を取ったため、ここでは被害は発生しませんでした。そこで彼らは、インターネットバンキングの利用者を、楽天市場に出店している法人・個人から検索しました。その手口は、客を装って買い物のふりをして支払い方法を調べ、入金先にネットバンクを使っている法人・個人を絞り込むというものです。

容疑者は、ここで当たりを付けた約 600 カ所の法人・個人にスパイウェア付きのメールを送りました。2005 年(平成 17 年)6 月、彼らは川崎市内の貴金属販売会社に商品へ苦情を装ったメールを送りました。このメールにもスパイウェアが添付されていました。
メールを受け取った会社は、添付されたスパイウエアを開いてしまったため、この会社がジャパンネット銀行を利用する際に使っていた暗証番号などが容疑者に漏れました。
容疑者らは、このパスワードを使い、貴金属販売会社の担当者になりすまし、ジャパンネット銀行にアクセスしました。そして、この会社の銀行口座から自分の口座に約 22 万円を不正に振り込ませたのでした。

ジャパンネット銀行では、第三者によってパスワードが類推されないように、顧客に乱数パスワードを発行・送付していましたが、スパイウェアの前には何の効力をないことを露呈する結果になってしまいました。やがて、新聞などでこの事件が明るみに出ると、容疑者らは、千葉銀行北陸銀行を成りすまし、これらの銀行の顧客にスパイウェアが入った CD-ROM を送りつけました。このスパイウェアも、メールに添付されているものと同様のものでした。この事件では、逮捕された男が犯行を企画し、指名手配中の男(IT関係企業の会社員、31 歳)がスパイウェアの作成やメールの送信、不正送金の操作を担当していたみられています。

容疑者らは、不正アクセスの痕跡を残さないよう、メール送付やネットバンキングへのアクセスには他人の無線LANを使っていました。不正に振り込まれた現金は、コンビニの ATMで振り出しされていました。このとき、闇サイトなどで募集した便利屋を使うこともあったようです。また、連絡手段として、プリペイドの携帯電話を使っていました。

使われたスパイウェア

被害者の PC には、SPYW_INVKEY12.A または Spyware.InvisibleKey と呼ばれるスパイウェアが仕掛けられていたことが分かっています。
このスパイウェアは EULA(使用許諾契約) を表示しますが、インストールされると、キーボードでから入力したすべての情報をユーザーにわからないように記録します。また、500 万円を不正に引き出された別の会社では、Norton Antivirusを導入していたにもかかわらず、コンピュータ・ウイルスにに感染していました。
この会社では、次のようなメールを受け取りました。

件名:破損の件!
先日、スクエアテーブルを購入致しました○○です。 到着時、梱包が少し潰れていたので、もしかしてと開封すると割れてはいませんでしたが、ボードにヒビが入っていました。返品交換等の対応は可能でしょうか? 参考に到着時の写真を送ります。ご連絡、お待ちしています。
○○


写真とされる添付ファイルには、ZIP 形式で圧縮された実行ファイルが入っていました。素早く対応しなければと添付ファイルをクリックしたところ、写真は表示されず、パソコンも何の反応も示しませんでした。しかし、ここでウイルスに感染していたようです。この会社で感染が確認されたのは、TSPY_BANCOS.ANM と呼ばれるトロイの木馬タイプのウイルスだったのですが、トレンドマイクロがその存在を確認したのは 2005 年(平成 17 年)7 月 7 日。この会社が感染したのは、それより 10 日も前のことだったのです。新しいウイルスやスパイウェアが次々に発生するので、アンチウイルスソフトを導入していても安心できません

教訓

この事件は、さまざまな立場の人に教訓を残しました。スパイウェアを開けてしまった担当者はもちろんですが、ネット出店したときに公開する決済手段をどう守るか、考えなければなりません。
ネットバンクは、顧客の認証により注意深くならなければなりません。もちろん、フィッシング詐欺への対応も求められます。
この事件とは無関係の第三者も、無防備な無線LANというインフラを容疑者に提供してしまったかもしれません。注意が必要です。

参考サイト

(この項おわり)
header