-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ロシアでテイクダウンと逮捕が相次ぐ
2022年になってから、ロシアでカード犯罪フォーラムの閉鎖とサイバー犯罪者の逮捕が相次いでいます。
逮捕については、重要な事例に限定しても、カード犯罪(カーディング)関連で2件、サイバー犯罪関連ではランサムウェアグループREvilのメンバー逮捕を含め3件です。これらは後述するように、ロシアを拠点とするサイバー犯罪者の逮捕の重要なものとしては、2020年3月以来です。
こうした状況について、弊社が提携する米国Flashpoint社が2月8日のブログで分析を行っています。今回は、そのブログ記事の日本語訳をお届けします。
大まかな内容
✔️ 2022年2月7日、有名なロシア語不法コミュニティのFerum Shop、Sky-Fraud(いずれもカード犯罪マーケットプレイス)のドメインを、ロシア当局が差し押さえる。当局はさらなるテイクダウンをほのめかした。
✔️ 当局は同じくカード犯罪関連マーケットプレイスのTrump’s DumpsとUASも閉鎖。Ferum Shop、Sky-Fraud、Trump’s Dumps、UASは、すべて .ruドメイン。
✔️ テイクダウンと逮捕を受け、「ロシアの安全保障機関が西側諸国と協力する」との憶測も生まれている。協力の可能性により、サイバー犯罪をめぐる情勢が変化することも考えられる。Flashpointは影響を引き続き注視。
*以下、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2022年2月8日付)を翻訳したものです。
本文
- ロシアがFerum、Sky-Fraud、UAS、Trump’s Dumpsを閉鎖、さらなるテイクダウンほのめかす [更新]
2022年2月8日
午後5:06(EST)、追記
Flashpointは、ロシアの法執行機関が逮捕した複数の個人を特定しました。そのうちの1人、Artem Alexeyevich Zaytsevは、Get-Net LLCのCEOとされています。Get-Netは、Sky-Fraud、Trump’s Dumps、UAS、Ferumのドメインや、他の複数ドメイン(この中には合法的な企業と見られるものも存在する)のレジストラです。
Get-Netの株式の過半数を保有しているのはAlexandra Kovalevaです。また、Get-Netは「Red-Code」社も所有しており、Red-CodeはZaytsev本人と同様、ロシアのペルムを拠点としています。
Flashpointは、Get-Netについて入手できる情報から、Zaytsevがユーザーに詐欺行為を行ったとしてロシアのフォーラム「Searchengines[.]guru」上で苦情を受けた2008年には活動を始めていたと、中〜高程度の確度で評価しています。
2022年2月7日、2つの有名なロシア語不法コミュニティ「Ferum Shop」と「Sky-Fraud」のドメインが、ロシア内務省の主にIT犯罪を専門とする部局である「K」局 [注1] によって差し押さえられました。Ferum ShopとSky-Fraudのホームページに表示された当局からのメッセージの内容は以下の通りです。
ロシア内務省「K」局より警告します。銀行発行カードから資金を盗むことは違法です!
Department “K” of the Ministry of Internal Affairs of Russia warns: theft of funds from bank cards is illegal!
Управление “К” МВД России предупреждает: хищение средств с банковских карт незаконно!
ロシア連邦刑法第187条
偽造決済カード、為替、決済関連の書類または手段、及び、違法な資金の受領、発行、移転のための電子的手段、電子的媒体、機器、コンピュータープログラムを、使用または販売する目的で製作、取得、保管、移転、販売すること。
7年以下の拘禁刑に処する。[注2]
現時点でFlashpointのアナリストは、Ferum ShopとSky-Fraudがロシアの銀行を標的としていたかどうかを確認していません。
また、Ferum ShopとSky-Fraudの双方のソースコードには、捜査機関の手によるものとされるメッセージが挿入されています。メッセージには「Which one of you is next?(次はどいつだ?/ ロシア語は“Кто из вас следующий ?”)」と書かれています。このメッセージには、近いうちにさらなる逮捕者が出るだろうという意味が込められています。同様のメッセージは、UniCCのテイクダウンの際にもありました。
Trump’s DumpsとUASも閉鎖
3つ目のカード犯罪関連マーケットプレイスの「Trump’s Dumps」にも同じメッセージが表示されています(下の画像)。
RDPのショップである「UAS (Ultimate Anonymity Services)」も閉鎖されています。
Flashpointは両ショップのテイクダウンを確認済みです。また、Flashpointのアナリストは上記4つの情報源すべてが .ruドメイン上で管理されていたことに注目しています。アナリストは、「K」局が .ruドメインの同様の情報源を今後も狙い続けるだろうと、中程度の確度で評価しています。
「本情報源はブロックされています」(画像:Flashpoint)
Ferum Shopは、最重要カード犯罪関連マーケットプレイスの一つで、約5年間稼働していました。Joker’s Stashの閉鎖後には、最長寿の不法オンラインカード犯罪関連マーケットプレイスとなり、Joker’s Stashの主要な後継サイトの一つと考えられていました。
Sky-Fraudは別のカード犯罪関連の情報源で、約4年間稼働していました。上流フォーラムどころか中流フォーラムとしてすら見られたことがありませんでしたが、初心者のカーダーやサイバー犯罪者にとっては重要な情報源でした。
逮捕
Flashpointのアナリストは、今回の事案が、カード犯罪コミュニティをあからさまに狙った重要な逮捕としては2022年の年始以来2例目であり、ロシア国内のサイバー犯罪者の重要な逮捕としては3例目であることに注目しています。2022年1月には、主要カード犯罪関連マーケットプレイス「UniCC」が突如閉鎖しました。その後、ロシア連邦保安庁(FSB) [注1] が「Infraud Organization」のメンバー4人を逮捕したことが発覚しました。4人の中には、UniCCの管理者であることが以前から確認されているAndrey Novakが含まれています。
またFlashpointのアナリストは、最近行われたREvil、UniCC、Ferum Shop、Sky-Fraudのメンバーの逮捕は、ロシアを拠点とするサイバー犯罪者の重要な逮捕としては2020年3月以来であることに注目しています。この時、FSBは不法カード犯罪組織のメンバー30人超を拘束し、うち25人に対して「決済手段の違法流通」の容疑をかけました。
“Which of you is next?” (画像:Flashpoint) *ロシア語は “Кто из вас следующий ?”
Flashpointのアナリストは、ロシア語不法コミュニティにおけるテイクダウンと逮捕の影響を引き続き注視します。以前報告したように、REvilの運営者やInfraud Organizationのメンバーの逮捕により、一流フォーラムでは最近、ロシアの安全保障機関が特定の逮捕をめぐって西側諸国の捜査機関と協力するかもしれないとの憶測がなされています。こうした協力の可能性によって、サイバー犯罪をめぐる情勢が変化し、脅威アクターらが意思疎通や不法商品の売買をできる場所が制限される可能性があります。
サイバーリスク検知・優先順位づけ・軽減ならFlashpoint
「不法コミュニティの最新の動向を把握したい」「脆弱性やセキュリティインシデント、ランサムウェア攻撃を素早く特定して自社の資産、利害関係者、インフラを守りたい」といったニーズに、Flashpointはお応えします。無料トライアルにお申し込みいただくと、膨大な情報を収集できるFlashpointのプラットフォームや、ディープウェブ上の会話、ダークウェブ監視ツールを体験いただけます。
日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。
詳しくは以下のフォームからお問い合わせください。
翻訳元サイト
Flashpoint, “[Updated] Russia Seizes Ferum, Sky-Fraud, UAS, and Trump’s Dumps—and Signals More Takedowns to Come” (2022年2月8日付け)
漏洩クレジットカード分析の「reGemini」提供中
マキナレコードが提供している「reGemini」は、本記事中に登場するカード犯罪マーケットプレイスに流通するクレジットカード情報を、リアルタイムで把握することができるプラットフォーム型のサービスです。国内でも、基盤顧客の毀損を未然に防ごうとする複数の企業で採用されています。ご興味のある方はこちらからご確認ください。
訳者注
[*1] ロシア内務省「K」局と、FSBの違いについては、2022年2月14日のFlashpoint社のブログ記事で詳しく説明されています。
“Russia Is Cracking Down on Cybercrime. Here Are the Law Enforcement Bodies Leading the Way.”(2022年2月14日付け)
https://www.flashpoint-intel.com/blog/russian-cybercrime-law-enforcement-bodies-fsb-mvd-deptk/
[*2] この部分の翻訳にあたっては、ブログ本文の英文をベースとしつつ、以下の資料も参考にしました。
(資料1)
International Money Laundering Information Network(IMoLIN), THE CRIMINAL CODE OF THE RUSSIAN FEDERATION
URL : https://www.imolin.org/doc/amlid/Russian_Federation_Criminal_Code.pdf
Article 187. The Making or Uttering of Counterfeit Credit or Debit Cards, and Other Payment Documents
→187条. 偽造クレジットカードもしくはデビットカード、およびその他の決済書類の作成または行使
1. The making of counterfeit credit or debit cards, and also of other payment documents, which are not securities, with the purpose of their utterance or their uttering,
shall be punishable by deprivation of liberty for a term of two to six years, with a fine in the amount of 100 thousand to 300 thousand roubles, or in the amount of the wage or any other income of the convicted person for a period of one year to two years.
→1.偽造クレジットカードもしくはデビットカード、およびその他の決済書類(有価証券を除く)を行使する目的で作成した者は、2年から6年の拘禁刑、および、10万ルーブルから30万ルーブルまたは有罪判決を受けた者の1年から2年間の賃金もしくはその他収入の額の罰金に処する。
2.The same acts committed by an organized group,
shall be punishable by deprivation of liberty for a term of five to eight years, with or without a fine in the amount of up to one million roubles or in the amount of the wage or salary, or other income of the convicted person for a period of up to five years.
→2. 組織的集団が行った同様の行為は、5年〜8年の拘禁刑に処す。(以下略)
(資料2)
legislationline.org, The Criminal Code Of The Russian Federation
URL : https://www.legislationline.org/download/id/4247/file/RF_CC_1996_am03.2012_en.pdf
Article 187. The Making or Sale of Counterfeit Credit or Debit Cards, and Other Payment Documents
1.The making of counterfeit credit or debit cards, and also of other payment documents, which are not securities, with the purpose of their utterance or their sale,
shall be punishable by compulsory labour for a term of up to five years or by deprivation of liberty for a term of up to six years accompanied by a fine in the amount of 100 thousand to 300 thousand roubles or in the amount of a wage/salary or other income of the convicted person for a period of one year to two years.
2.The same acts committed by an organised group,
shall be punishable by compulsory labour for a term of up to five years or by deprivation of liberty for a term of up to seven years accompanied by a fine in the amount of up to one million roubles or in the amount of a wage/salary or other income of the convicted person for a period of up to five years or without such.
