ロシア連邦保安局がマーケットプレイス閉鎖、ターゲットの「Flint24」を逮捕 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ロシア連邦保安局がマーケットプレイス閉鎖、ターゲットの「Flint24」を逮捕

Threat Report

Gemini

ロシア連邦保安局がマーケットプレイス閉鎖、ターゲットの「Flint24」を逮捕

codebook 編集部

codebook 編集部

2020.07.21

 

ロシア連邦保安局がマーケットプレイス閉鎖、ターゲットの「Flint24」を逮捕

2020年7月10日
 

 

概要

Gemini Advisory は以前、ロシア連邦保安局(FSB)がハッカー集団のメンバー30人を逮捕したことを報告しました。ロシアの法執行機関によるこの異例の行動には、有名なサイバー犯罪者であるアレクセイ・ストロガノフ(別名「Flint24」)の逮捕が含まれていました。
ストロガノフは合法的な見かけをしたビジネスをいくつか所有しており、近年はサイバー犯罪活動を増やしつつ、堅気なビジネスマンであることを示すための多大な努力をしていました。
ロシアの犯罪者は、法の執行から身を守るためにしばしば政治的なつながりを得ようとします。ストロガノフも長年にわたり政治家とのつながりを維持していました。しかし新たに公となった、ウラジーミル・プーチン大統領がかつて会員だった柔道場との関係は、一線を越えた可能性が高いでしょう。
ストロガノフの逮捕理由や意思決定プロセスは公表されていません。しかし、彼が道場役員として表彰されてから間も無く、FSBは異例かつ大掛かりなサイバー犯罪者の逮捕を彼の誕生日に行いました。これは、彼の政治的に行き過ぎた行為が大統領側近の激しい反発を引き起こし、逮捕につながったことを暗示しています。
 

背景

Gemini Advisoryは2020年3月24日、FSBがハッカー集団のメンバー30人を逮捕したという 報告書 を作成しました。ロシアの法執行機関が、同国の著名なハッカー、特に多数のロシア人を標的としていないハッカーを逮捕することは一般的ではなく、これは異例の展開でした。さらにGemini のアナリストは、今回の逮捕の鍵となった人物の1人が、よく知られたサイバー犯罪者であるアレクセイ・ストロガノフ(別名「Flint24」)であると断定することができました。2020年6月17日の独立系ロシア語新聞「メドゥーザ」のニュース記事は、こうした逮捕の考えうる理由について、さらなる詳細情報をいくつか伝えています。
 

詳細分析

合法的なビジネス

記事では、ストロガノフがロシア連邦で複数の「合法的な」ビジネスを運営し、さらに複数の慈善活動を支援していたと報じられています。このため、記事によると、ストロガノフはカルーガ地方の有名な実業家であり、弟と共に暖房供給会社、リサイクル工場、警備会社、レストラン、セキュリティサービス会社、「サイバー犯罪と戦う」非営利組織、SUV車の改造工房(Zhukoff Garage)など、十数社を経営していたとのことです。サイバー犯罪と戦う組織「Kibalchish」は現在は運営されていませんが、公式サイトには、カーディングやフィッシングなどのサイバー犯罪との戦いや教育を支援していると記載されていました。さらに、ロシアで開催された2018年ワールドカップでは、チケットの違法販売との戦いに関与していた模様です。
二人の兄弟は、SUV車改造業の知名度を利用して、子どもの学校や家族向けの団体に関連した慈善活動に参加し、好意的に取り上げられました。犯罪者の中には、不正に入手した資金を洗浄するために合法的なビジネスを利用する者もおり、ストロガノフの場合はそれが当てはまるようです。記事によると、合法的なビジネスは、1つの例外を除いて、いずれも利益が出ていないとのことです。
 

画像1:「Kibalchish」の公式サイトによると、2年半の実績があり、複数の依頼を受け、複数の問題を解決していたことが分かります。


 

政治とのつながり

さらに同記事は、ストロガノフが政治家とのつながりを築き、さらなる関係構築に取り組んでいたことを指摘しています。そこでこの記事は、ストロガノフとロシアの政治家であるヴァディム・デンギン氏との親密な友情を強調しています。デンギン氏はロシア連邦の下院議員であり、ロシア自由民主党の党員でもあります。さらに、情報政策・情報技術・通信に関する委員会の第一副委員長を務めており、「RU-Net」やサイバー犯罪に関する法律の制定を監督しています。
ロシアでは、政治的なつながりを手にすれば、一定の免罪符が得られるということが広く知られています。こうした関係を作る上で鍵となる要素の一つは、収賄を厭わない政治家を見つけることです。そのためには、政界に知り合いがいること、あるいはその政治家を直接知っていることが必要です。そうすれば犯罪者は、直接または間接的に政府のメンバーに贈賄することができます。間接的な賄賂の中には、政治家が関心を持つ理念を支持するなど、政治家のための無料の宣伝や露出を伴うものもあります。さらに、犯罪者は贅沢な休暇を提供したり、ヘリコプターやヨットといった乗り物などの贅沢品を使用させたりすることもあります。記事によると、デンギン氏はストロガノフと同じ学校に通っており、弟の同級生だったとのことです。さらに、ストロガノフのFacebookページには、デンギン氏とストロガノフ、弟の3人がヨットで休暇を過ごしたことが記されています。ストロガノフのSUV車改造工房は、デンギン氏の主導する様々な人道的プロジェクトを公に支援してきました。「Kibalchish」は、デンギン氏の反対派が作った別の組織の対抗馬として作られたようで、もし「Kibalchish」が望む成果を上げることができたならば、デンギン氏に別の政治的地位を与え、ストロガノフにロシアの政治・サイバー領域でのより強力な足がかりを与えたことでしょう。
 

画像2:ロシアの政治家、ヴァディム・デンギン氏(中央)と休暇を過ごすアレクセイ・ストロガノフ(右)とストロガノフの弟(左)


 

「イカロスの翼」

2019年11月、柔道場 「Турбостроитель」(読み:ターボストロイテル)が創立50周年を祝賀しました。ロシアのウラジーミル・プーチン大統領は熱心な柔道愛好家で、以前はこの道場の会員でした。しかもこの道場は、プーチン氏がそこでのトレーニングの日々を語った、ロシア国営放送のドキュメンタリー番組で取り上げられたことがあります。プーチン氏は記念式典に直接出席し、道場の主要人物何人かに複数の賞を授与しました。2019年12月20日には、地域社会への積極的な貢献を表彰する政府の式典で、サンクトペテルブルクの知事が様々な社会的成果に対する複数の賞を授与しました。このような賞の1つは、「ターボストロイテル」の理事会メンバーの1人であるストロガノフに贈られ、彼が何らかの形でクラブに関与していたことを示しています。受賞から3カ月後、ストロガノフの48歳の誕生日に、FSBは逮捕を行いました。
 

画像3:サンクトペテルブルク州知事から政府賞を授与されるストロガノフ


 

考えられる他の理由

ストロガノフが逮捕された正確な理由を断定することは困難ですが、今回のような逮捕の理由として考えられるものは他にもあります。上述したように、ロシアの法執行機関は、一定の 不文律に従う限り、ハッカーを追及しません。そのルールの1つは、旧ソ連(FSU)に居住する個人を狙わないというものです。この組織が運営する小規模なマーケットプレイスの一つは、実はロシア市民のペイメントカードを販売することを提案していました。この組織が運営するマーケットプレイスが多岐にわたることを考えると、このようなカードの販売は主犯に気づかれず、マーケットプレイスの日常業務を運営している個人によって行われた可能性があります。とはいえ、販売されたカードの数が少なければ、今回のような目立った逮捕の原因にはならないでしょう。特に政府とのつながりがある個人の場合はなおさらです。
FSU内で活動するハッカーに対して法執行機関が定めている他の不文律の一つは、ハッカーが法の執行に直面した場合、これに協力しなければならないというものです。これには、ストロガノフが払いたくない賄賂が含まれていた可能性があり、その代わり、ゆすりのを避けるために政治的なコネを利用しようとしたとも考えられます。また法執行機関は、この領域で活動している他のハッカーの情報を要求したり、ストロガノフがやりたがらないこと、例えば特定のハッキングを実行するよう組織に命令することなどを要求したりした可能性もあります。DarkWebフォーラム上の議論では、時としてサイバー犯罪者が他者を「K」部門(ロシアのサイバー警察)と協力していると非難することがあり、上記の可能性を裏付けています。
しかし、これらの代替的な説明は、ロシアの規範や行動様式、サイバー犯罪者の議論に基づく推測です。これらはストロガノフの逮捕について、彼の政治的関係やプーチン氏の柔道場とのつながりとは無関係な、様々な理由を提示するかもしれません。しかしこれらは推測であり、公の声明やDarkWebインテリジェンスによって立証されたものではありません。
 

逮捕

FSBによると、逮捕時には100万ドル以上の貨幣、300万ルーブルもの貨幣(この記事の執筆時点で1ドル=68ルーブル)、武器、偽造ID、麻薬、金塊、貴金属、そして、ペイメントカードのマーケットプレイスでの作業を可能にするITインフラなどを押収しました。これに加えて、記事によると、ストロガノフは最後の休暇にヨットと彼のSUV車改造工房に登録されているヘリコプターを使用しているのが目撃されています。彼のビジネスのほとんどが利益を上げていないことを考えると、ストロガノフの主な収入源は、ペイメントカードのマーケットプレイスを運営することであり、その後の資金洗浄はこれらのビジネスを通じて行われていたようです。
 

怪しい過去

ストロガノフの生い立ちは非常に興味深いもので、ロシア全土で最年長のカーダーとして多くの人に知られています。彼の犯罪歴は2003年に始まり、カーディングに関わっていたためにロシアの警察に逮捕されました。あるロシアのニュース記事によると、当時でさえ、ストロガノフは警察に9年間、不特定の詐欺行為で指名手配されていたようです。ストロガノフは現在48歳で、2003年には詐欺罪で9年間指名手配されていたことを考えると、彼の犯罪活動は1994年、22歳の時に始まったと推測されます。2003年の犯罪組織の逮捕では、ストロガノフは、首謀者のアルトゥール・リャシェンコ(別名 “Bigbuyer”)ともう一人のゲラシム・セリヴァノフ(別名 “Gabrik”)と共に、3人の主要人物の一人でした。注目すべきは、セリヴァノフは、ストロガノフが所有するSUV車改造工房のYouTubeチャンネルの運営に積極的であり、今回の逮捕で拘束された人物の一人でもあったことです。2003年には、セリヴァノフがカードデータの取得を担当し、ストロガノフがその情報を偽造カードに刷り込む作業を担当していました。ストロガノフは、ベラルーシのハッカー、セルゲイ・パブロビッチの著書『How To Steal A Million: Memoirs of a Russian Hacker』に登場します。その中で著者は、逮捕の1年前に「Flint24」と出会ったと書かれています。当時、ストロガノフは「carder[.]org」というロシア語一流フォーラムのモデレーターをしていて、品質の劣る「Boa Factory」のカードを使っていました。やがて、ストロガノフ、セリバノフ、リャシェンコの3人は、独自の偽造カード製造会社を設立しました。もう一つ注目すべきことに、パブロヴィッチによると、セリヴァノフは2012年にオランダで逮捕されたダンプ業者のウラジマー・ドリンクマン(別名「Scorpo」)の親友だったようです。パブロヴィッチは、この友情のおかげで、セリヴァノフは当時最大のダンプベンダーの一人になったと説明しています。
 

画像4:Zhukoff GarageのYouTubeチャンネルを主催するセリヴァノフ


 
FSBの記録によると、2006年にストロガノフとセリヴァノフは、偽造ペイメントカードの製造と販売の罪で有罪判決を受け、6年の懲役を言い渡されました。2人は2年間の刑期を終え、2008年に釈放されました。釈放後も、ストロガノフ(「Flint24」)はロシア語のDark Webフォーラムのメンバーとして活動を続けていました。最初の逮捕後、彼の存在ははるかに目立たなくなり、個人を特定できる情報(PII)や連絡先の詳細を一切明かしていませんでした。彼の日常業務上の安全対策(OPSEC)は、逮捕のために改善していた可能性があります。「Flint24」は、ロシア語のDark Webフォーラム「Omerta」で、何度もペイメントカードのマーケットプレイス「BuyBest」を支持していました。「Flint24」はロシア語のDarkWebフォーラム「Verified」や「DarkMoney」でも活動していました。ストロガノフは2008年に釈放され、ドリンクマンは2012年に逮捕されたことを考えると、ストロガノフ、セリバノフ、ドリンクマンの関係はその時点まで続いていたと考えるのが妥当でしょう。また、ストロガノフが運営していた「GoldenShop」などのマーケットプレイスが2013年初頭に営業を開始していることも注目に値しますが、これはストロガノフとその共犯者が逮捕後にドリンクマンが残したインフラを引き継いだことを示している可能性があります。
 

結論

ロシア連邦の汚職はある程度知られており、犯罪者が政府の標的にならないように政治的な結びつきを得ようとしています。これらの戦術やコネクションは、人知れず有害な影響をもたらす可能性がある暗黙の境界線を越えないように、慎重に計画されている必要があります。アレクセイ・ストロガノフ(別名「Flint24」)は、疑わしい過去を持つサイバー犯罪者として知られており、近年は違法行為を継続しているだけでなく、堅気なビジネスマンであることを装うために多大な努力をしているように見えます。
ただし、こうした試みは、権力者との望まない付き合いをもたらす可能性があるので、加減を考えることも重要です。ストロガノフはデンギン氏との関係を何年にもわたって反発を受けることなく維持してきたように見えますが、プーチン大統領の柔道場との癒着は、権力者からして一線を越えていた可能性が高いです。FSBがストロガノフを逮捕した動機やそれを裏付けるプロセスは公表されていませんが、彼がターボストロイテルの役員として表彰されたタイミングに続いて、FSBが異例の高プロファイルサイバー犯罪者をストロガノフの誕生日に逮捕したことは、彼の政治的な行き過ぎた行動がロシア大統領の側近から激しい反発を呼び起こし、結果的にストロガノフが逮捕されたことを示唆しています。
 
 

Gemini Advisoryの使命

Gemini Advisory は、増大し続けるサイバーリスクの軽減を目指し、最大手の金融機関に実用的な不正情報を提供しています。当社独自のソフトウェアは、非対称ソリューションを利用しており、これは詐欺師やオンライン犯罪者の標的とされている資産をリアルタイムで特定・隔離する上で役立ちます。

本記事の情報源について

本記事は、マキナレコードのパートナー会社で、漏洩クレジットカード情報分析サービスを提供するGemini Advisoryによる記事を日本語訳したものです。記事内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元:FSB Marketplace Takedown and Arrests Targeted “Flint24”
      https://geminiadvisory.io/fsb-arrests-targeted-flint24/


Gemini Advisoryについて
Geminiが提供するプラットフォーム「reGemini」 は、不正に取得・盗難されたクレジットカード情報をモニタリングするプラットフォームです。詐欺・脅威インテリジェンスチームによるサイバー犯罪マーケットの観察を可能にし、企業の資産ポートフォリオのエクスポージャーレベルを正確に評価できます。
独自のテレメトリデータを適用することで、企業は、アンダーグラウンドエコノミーに対する不正防止の取り組みの影響力を測定し、侵害された共通購買時点(Common Point of Purchase)を迅速に特定するとともに、リスク露出モデルを大幅に改善することで不正の可能性を低くすることができます。
 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ