米RSA Securityでオンライン不正対策を担当するUri Rivner氏(写真)は2009年6月8日,RSAセキュリティで説明会を開き,フィッシングなどのオンライン不正行為の現状を紹介した。面識のない犯罪者同士がWebフォーラムを介して仕事の情報を共有している状況など,犯罪者/詐欺師によるサプライ・チェーン/エコシステムの実像を示した。
まず,現在のオンライン不正行為が,互いに面識のない複数の犯罪者の協調作業によって行われていることを説明。例えば,マルウエアの配信などによって口座やパスワードなどのデータを盗み出す詐欺師は,自分ではデータを利用して現金化することをしない。データを利用して現金化する詐欺師は別にいるという。
これら2種類の詐欺師のほかに,口座から口座へと現金を移す際に活躍する,自分が犯罪行為に加担していることを知らない運び屋も存在する。犯罪者は,運び屋をメールによる勧誘で増やす。運び屋は,「自宅で少しの時間働くだけで収入が生まれる」といったメールにつられ,知らないうちに運び屋になっている。
こうした組織犯罪を円滑に遂行するため,面識のない犯罪者同士を結び付けるコミュニティが存在するという。こうしたWebフォーラムには,価値のあるデータを要求するリクエストのほか,自分の犯罪能力や知識を売り込むメッセージなどが溢れている。企業のCEOのメール・アドレスや製薬会社の顧客リストをいくらいくらで買うといったものが多数あり,マルウエアの通信販売も行われている。
Webフォーラムに書かれている要求の相場は興味深い。クレジット・カード番号は1ドル,クレジット・カードの情報とユーザー情報のセットは15ドル,CEOのメール・アドレスは50ドル,といった具合だ。
