2011年11月9日(米国時間)、FBI(米連邦捜査局)は作戦名「Operation Ghost Click」において、世界最大規模のネット詐欺に関与していた7人を逮捕・起訴した。トレンドマイクロや多くの業界関係者による捜査協力の下、長期間にわたる活動によって100台以上のサーバーで構成するデータセンターのインフラが閉鎖された。

 加えて、世界各地計400万台以上のボット(感染コンピュータ)で構成するまでに膨れ上がった巨大ボットネットが、FBIとエストニア警察の捜査によって閉鎖された(図1)。

編注:ボットネットとは、ユーザーのパソコンやサーバーを不正プログラムに感染させ、攻撃者が操れるようにした多数の感染コンピュータ(ゾンビPCと呼ぶ)で構成するネットワークを指す。ボットネットへの指令は、攻撃者が設置した「コマンド・アンド・コントロール・サーバー」(C&Cサーバー)を利用して実施する。
図1●サイバー犯罪で利用されたボットネットのイメージ
図1●サイバー犯罪で利用されたボットネットのイメージ

 トレンドマイクロは独自に行っていた調査で、このサイバー犯罪に関与していると思われる犯罪グループの存在について2006年から把握していた。法的機関による円滑な捜査、摘発を実現するため、トレンドマイクロはこの調査の中で入手した情報の公表を控えてきた。

 主犯格が逮捕された2011年11月までの5年間にわたり蓄積したインテリジェンスをもとに、世界規模でサイバー犯罪を実施した犯罪グループの実体、サイバー犯罪の仕組み、組織犯罪グループによる活動が不正であると疑いを持ち、どのような経緯で確信に変わっていったのか、一端を紹介する。

 世界100カ国、感染コンピュータ400万台以上という規模に上るサイバー犯罪では、被害に遭った400万台以上の感染コンピュータのうち、少なくとも50万台はアメリカ合衆国内に存在していたことが明らかになっている。その中には政府機関、教育機関、非営利団体(NPO)、企業、個人に属するものを含んでいた。

 このサイバー犯罪では、インターネットを利用する上で不可欠となるDNS(Domain Name System)を悪用する「DNS Changer」と呼ばれる不正プログラムが使われていた。組織的に行われたネット詐欺では、「クリックハイジャック」と「偽広告」という手法を使って総額1400万USドル(約12億円)にも上る金銭をサイバー犯罪グループが荒稼ぎしていたことも明らかになっている。

 このサイバー犯罪で起訴された7人のうち、エストニア人の被告6人がエストニア警察によって逮捕される一方で、ロシア人の被告1人は依然として逃亡を続けている。これらの被告人7名は「Wire fraud(電信詐欺)」「Computer intrusion(コンピュータへの不正侵入)」「Computer intrusion, furthering frand(コンピュータへの不正侵入による詐欺の拡大)」「Computer intrusion, transmitting information(コンピュータへの不正侵入による情報の転送)」など5つの罪で起訴されている。

 サイバー犯罪グループの主犯格であるVladimir Tsastsin(ウラジミール・ツァストシン)被告は、上記に加えて「Money laundering(マネーロンダリング)」「Engaging in monetary transactions of value more than $10,000 involving fraud proceeds(詐欺による金銭授受)」の二つの罪でも起訴されている。有罪が確定した場合には、各々最大で30年の刑に上る罪も含まれている。