スパイウェアを使った不正振り込み事件

(1/1)
スパイウェア
2005年(平成17年)11月、スパイウェアを使った事件としては日本で初めて逮捕者が出ました。容疑者はスパイウェアを使い、インターネットバンキング利用者のパスワードなどを盗み、不正な振り込みを行っていました。この事件では、アンチウイルソフトを導入しているにもかかわらずスパイウェアに感染してしまった被害者が出ました。また、容疑者は、アクセス履歴を隠すため、他人の無線LANに乗り入れたりしていました。

ケース分析

2005年(平成17年)11月10日、スパイウェアを使った事件としては日本で初めて逮捕者が出ました。逮捕されたのは千葉県の無職男性(34歳)で、不正アクセス禁止法違反と電子計算機使用詐欺の疑い。
容疑者は、スパイウェアを使い、インターネットバンキング利用者のパスワードなどを盗み、不正な振り込みを行っていました。11月時点で、みずほ銀行、イーバンク銀行ジャパンネット銀行の3銀行と、おおかわ信用金庫(福岡県)の顧客の、法人・個人計10口座から約1,140万円の被害が確認されています。また、この容疑者は、千葉銀行北陸銀行の顧客にスパイウエアを忍び込ませたCD-ROMが送りつけられた事件への関与もほのめかしています。さらに、2006年(平成18年)1月26日までに、このスパイウェアを作成した元IT関連企業社員の男性(31歳)が逮捕されました。スパイウェア作成者が逮捕されたのも、国内で初めてのケースです。

2006年(平成18年)6月20日、東京地裁で判決公判があり、裁判官は「コンピューターの知識を悪用し、利得目的で犯行に及んだ動機に酌量の余地はない」として、スパイウェア作成者に懲役4年(求刑懲役6年)の実刑を言い渡しました。

不正振り込みの手口

2004年(平成16年)、有名女性歌手が何者かに銀行口座から多額の預金を引き出される事件があり、逮捕された容疑者は「パスワードがわかれば、簡単に金が取れる」と考えました。そこで、IT関係の企業に勤める知人の男(31歳、指名手配中)に話を持ちかけました。彼らは、2004年(平成16年)10月頃、イーバンク銀行のホームページの偽サイトをつくり、アクセスしてきた顧客のパスワードを不正入手するフィッシング行為をはじめました。しかし、銀行側がフィッシング・サイトの存在に気づき対策を取ったため、ここでは被害は発生しませんでした。そこで彼らは、インターネットバンキングの利用者を、楽天市場に出店している法人・個人から検索しました。その手口は、客を装って買い物のふりをして支払い方法を調べ、入金先にネットバンクを使っている法人・個人を絞り込むというものです。

容疑者は、ここで当たりを付けた約600カ所の法人・個人にスパイウェア付きのメールを送りました。2005年(平成17年)6月、彼らは川崎市内の貴金属販売会社に商品へ苦情を装ったメールを送りました。このメールにもスパイウェアが添付されていました。
メールを受け取った会社は、添付されたスパイウエアを開いてしまったため、この会社がジャパンネット銀行を利用する際に使っていた暗証番号などが容疑者に漏れました。
容疑者らは、このパスワードを使い、貴金属販売会社の担当者になりすまし、ジャパンネット銀行にアクセスしました。そして、この会社の銀行口座から自分の口座に約22万円を不正に振り込ませたのでした。

ジャパンネット銀行では、第三者によってパスワードが類推されないように、顧客に乱数パスワードを発行・送付していましたが、スパイウェアの前には何の効力をないことを露呈する結果になってしまいました。やがて、新聞などでこの事件が明るみに出ると、容疑者らは、千葉銀行北陸銀行を成りすまし、これらの銀行の顧客にスパイウェアが入ったCD-ROMを送りつけました。このスパイウェアも、メールに添付されているものと同様のものでした。この事件では、逮捕された男が犯行を企画し、指名手配中の男(IT関係企業の会社員、31歳)がスパイウェアの作成やメールの送信、不正送金の操作を担当していたみられています。

容疑者らは、不正アクセスの痕跡を残さないよう、メール送付やネットバンキングへのアクセスには他人の無線LANを使っていました。不正に振り込まれた現金は、コンビニのATMで振り出しされていました。このとき、闇サイトなどで募集した便利屋を使うこともあったようです。また、連絡手段として、プリペイドの携帯電話を使っていました。

使われたスパイウェア

被害者のPCには、SPYW_INVKEY12.A または Spyware.InvisibleKey と呼ばれるスパイウェアが仕掛けられていたことが分かっています。
このスパイウェアは EULA(使用許諾契約) を表示しますが、インストールされると、キーボードでから入力したすべての情報をユーザーにわからないように記録します。また、500万円を不正に引き出された別の会社では、Norton Antivirus を導入していたにもかかわらず、コンピュータ・ウイルスにに感染していました。
この会社では、次のようなメールを受け取りました。
件名:破損の件!
先日、スクエアテーブルを購入致しました○○です。 到着時、梱包が少し潰れていたので、もしかしてと開封すると割れてはいませんでしたが、ボードにヒビが入っていました。返品交換等の対応は可能でしょうか? 参考に到着時の写真を送ります。ご連絡、お待ちしています。
○○
写真とされる添付ファイルには、ZIP形式で圧縮された実行ファイルが入っていました。素早く対応しなければと添付ファイルをクリックしたところ、写真は表示されず、パソコンも何の反応も示しませんでした。しかし、ここでウイルスに感染していたようです。この会社で感染が確認されたのは、TSPY_BANCOS.ANM と呼ばれるトロイの木馬タイプのウイルスだったのですが、トレンドマイクロがその存在を確認したのは2005年(平成17年)7月7日。この会社が感染したのは、それより10日も前のことだったのです。新しいウイルスやスパイウェアが次々に発生するので、アンチウイルスソフトを導入していても安心できません

教訓

この事件は、さまざまな立場の人に教訓を残しました。スパイウェアを開けてしまった担当者はもちろんですが、ネット出店したときに公開する決済手段をどう守るか、考えなければなりません。
ネットバンクは、顧客の認証により注意深くならなければなりません。もちろん、フィッシング詐欺への対応も求められます。
この事件とは無関係の第三者も、無防備な無線LANというインフラを容疑者に提供してしまったかもしれません。注意が必要です。

参考サイト

(この項おわり)
header