スパムメールの高度化から国家的なサイバー犯罪まで

Posted on Updated on by 西村幸三カテゴリー:PC・スマートフォン・携帯電話経済法

本日受け取ったスパムメール(詐欺メール)が、「だまし」のレベルが悪辣過ぎて、社会全般にとって憂慮すべき内容だと感じたので、投稿することとした。

 

問題のスパムメールは、発信元:ロシア のメールである。

 

秀丸メールを使っていると、発信元(発信国)がメールの本文枠のすぐ上に表示され、否が応でも目に付く。

 

「発信元=RU」となっている。

 

それだけで怪しいとはわかる。

 

だが、その中身が完璧な日本語なのである。

 

スパムメールにありがちな怪しい日本語ではない。

 

内容は、税務署からのお知らせである。

 

引用したくもない不愉快なものだが、警鐘と参考のため、すこし引用する。

 

——————-
e-Taxをご利用いただきありがとうございます。
国税に関する申告の参考となる情報について、メッセージボックスに格納しましたので、内容をご確認ください。
e-Taxの利用可能時間内に、以下の手順で確認することができます。
■ パソコンから確認する場合
※ 個人納税者の方が確認するためにはマイナンバーカード等が必要です。
●受付システムをご利用の場合
1 「受付システム ログイン」画面からログインします。
2 「メッセージボックス一覧」から該当のお知らせを選択すると、内容が表示されます。
⇒ 受付システムへ ⇒  https://●●●-nta.go.jp/●●〇〇
——————-

などというもので、日本語として完璧である(一部全角に直している)。

 

IDパスワードなどをログインさせるべく、国税庁類似のドメイン名の偽装サイトに誘導していることがわかる。

 

さらに手が込んでいるのは、from:ヘッダがまず、nta.go.jpに偽装されていることである。

 

それに加えて、message-IDヘッダまで、nta.go.jp、つまり、国税庁を偽装しているのである。

 

では、なぜ、ロシアが発信国とわかるか。

 

メールのヘッダを下から順に読んでいくと、最初のReceived:が、

 

Received: from ●●●●.●●●.nta.go.jp (unknown [45.147.●●●.●●●])

となっている。

 

Received:でも、ドメイン名を国税庁のものに偽装しているが、その後ろの[ ]内の数字11桁のIPアドレスは偽装できない。

 

それがロシアに割り当てられたIPアドレスなのである。

 

手が込んでいるのは、フィッシングサイトに誘導しているメール文中のURLのドメインが.comなのである。

 

ほかにもログインを誘導するフィッシングサイトがメール文中に表示されているが、やはり.comである。

 

ロシアや中国のドメインよりはるかに信用性の高い.comドメインを悪用していることがわかる。

 

さて、マルウェアで昨年から今年に多くの被害を日本で生んだEmotetも、ロシアが拠点で発信・展開されているものと報道されている。

 

2022年2月24日、ロシアがウクライナに侵攻したが、実はその1ヶ月以上前から、ウクライナの70もの国家機関がサイバー攻撃にさらされていた。

 

見えてきたサイバー戦 ハイブリッド戦 ウクライナで激しい攻防(NHK 2022年6月27日)

https://www3.nhk.or.jp/news/html/20220627/k10013690111000.html

 

Emotetも、過去のバージョンもロシア発であったと言われているが、凶悪な改良型が昨年末から今年初めに掛けて西側諸国に再流行した。

 

この、ウクライナ侵略の直前の絶妙のタイミングで、西側の経済界にインパクトを与えて経済を混乱させたEmotetの再流行に、ウクライナ侵略との関連性を指摘する向きもある。

 

特に言語を問わず感染PCのメールのタイトルや本文を取り込む悪質さによって、あらゆる言語、つまり日本語にも対応したことにより、日本に大流行した。

 

私もEmotetのメールは受け取ったが、Emotetのメールの文字コードは、UTF-8であった。

 

日本のメールソフトの文字コードは長くshift-JISが主流だったので、Emotetがshift-JISのメールを取り込むと文字化けする。

 

それでは怪しすぎで誰も騙されない(笑)。

 

しかし最近のメールソフトは記述する文字コードのデフォルトをグローバルにUTF-8に合わせてある(Outlookもそのようである)ので、特にOutlookを使っている人がEmotetに感染した際には、アドレス帳、メールの題名本文まで取り込まれて、知り合いにEmotetメールをばらまき送信して、感染を拡げることとなってしまった。

 

Emotetの爆発的流行は、日本のメールの文字コードといった環境の変化の影響も大きいと思われる。

 

日本人は、外国語のメールは読めないし読まないから引っかからないが(笑)、日本語のスパムメールに引っかかりやすいというのを、サイバー犯罪集団がこれではたと気付いたとしても、なんら不思議ではない。

 

日本は、ロシアのウクライナ侵略に対して対ロシア政策を欧米と協調して実施している。

 

サイバー攻撃の対象となってもなにもおかしくない。

 

ロシア発のサイバー攻撃が悪質なのは、国家機関レベルのサイバー攻撃と、ランサムウェア攻撃などによってPCを動作不能にして身代金を取ったり、クレジットカード番号などを詐取して不正利用をするといった経済的攻撃が、同居していることである。

 

北朝鮮に到っては、仮想通貨を、国家の工作員が制作して展開して、仮想通貨取引所(交換所)にウォレットを取り扱うアプリケーション(マルウェア)をインストールさせた上で、仮想通貨取引所のサーバーを不正に操作して別の仮想通貨例えばビットコインを詐取する、といったサイバー犯罪をおこなったとして、米国司法省(Department of Justice)に起訴され、司法省のウェブサイトにも、ニュースリリースされている。

 

米国司法省
2020年8月27日リリース

米国は北朝鮮の者らによる2つの仮想通貨取引所のハッキングに関連する280個の暗号通貨アカウントを没収するよう求め、起訴した。

https://www.justice.gov/opa/pr/united-states-files-complaint-forfeit-280-cryptocurrency-accounts-tied-hacks-two-exchanges

(抜粋、仮訳)
起訴状で主張されているように、2019年7月、北朝鮮の関係者によって仮想通貨取引所がハッキングされました。ハッカーは、Protonトークン、PlayGameトークン、IHT Real Estate Protocolトークンなど、272,000ドル以上の代替暗号通貨とトークンを盗んだとされています。その後の数か月間、資金はいくつかの代理人のIDやその他の仮想通貨取引所を通じて(マネー)ロンダリングされました。多くの場合、その者は、資金移動の経路を難読化するために、暗号通貨をビットコイン、テザー、またはその他の形式の暗号通貨に交換しました(「チェーンホッピング」と呼ばれる手法)。起訴状に詳述されているように、それにもかかわらず、使用された高度なロンダリング技術にもかかわらず、法執行機関は資金を追跡することができました。

訴状でも主張されているように、2019年9月、米国を拠点とする企業が関連する事件でハッキングされました。北朝鮮に関連するハッカーは、同社の仮想通貨ウォレット、他のプラットフォームで同社が保有する資金、および同社のパートナーが保有する資金にアクセスできるようになりました。ハッカーは約250万ドルを盗み、別の仮想通貨取引所で100を超えるアカウントを介してそれをロンダリングしました。

上記の両方のハッキング、および2020年3月の没収訴訟(1:20-cv-00606-TJK)で以前に詳述されたハッキングからの資金はすべて、中国の店頭取引業者の同じグループによってロンダリングされたとされています。侵入と資金移動を促進するために使用されたインフラストラクチャと通信アカウントも北朝鮮に結び付けられていました。
—————————

米国司法省

2021年2月17日 リリース

3人の北朝鮮の軍事ハッカーが世界中でサイバー攻撃と金融犯罪を犯したとして広範な計画で起訴

https://www.justice.gov/usao-cdca/pr/3-north-korean-military-hackers-indicted-wide-ranging-scheme-commit-cyber-attacks-and

(抜粋、仮訳)

3人の北朝鮮のコンピュータプログラマーの起訴に関するニュースリリース。
「北朝鮮のハッカーによる犯罪行為の範囲は広範かつ長期にわたっており、彼らが犯した犯罪の範囲は驚異的です」と、米国検事代理のトレイシー・L・ウィルキソンは述べた。「起訴状で詳述されている行為は、復讐をおこない、政体を支えるための資金を得るために手段を選ばない犯罪国家の行為です。

「本日の起訴状で述べられているように、北朝鮮の工作員は、マスクや銃ではなくキーボードを使っており、世界有数の21世紀の国家的銀行強盗である」

・ランサムウェア(PCを乗っ取るマルウェア)とサイバー対応の恐喝:2017年5月に破壊的なWannaCry 2.0ランサムウェアが作成され、2017年から2020年にかけて、機密データの盗難やその他のランサムウェアの展開を含む被害者企業の恐喝と恐喝を試みた。

・悪意のある暗号化アプリケーションの作成と展開:2018年3月から少なくとも2020年9月まで、Celas Trade Pro、WorldBit-Bot、iCryptoFx、Union Crypto Trader、Kupay Wallet、CoinGo Trade、Dorusio、CryptoNeuro Trader、Ants2Whaleなど、複数の悪意のある暗号化アプリケーションの開発は、北朝鮮のハッカーに被害者のコンピュータへのバックドアを提供した。

・暗号通貨企業の標的化と暗号通貨の盗難:数百の暗号通貨企業を標的にし、2017年12月にスロベニアの暗号通貨会社から7500万ドルを含む数千万ドル相当の暗号通貨を盗んだ。2018年9月にインドネシアの暗号通貨会社から2490万ドル、2020年8月にニューヨークの金融サービス会社から1,180万ドルが支払われ、ハッカーは悪意のある仮想通貨取引業者用アプリケーションをバックドアとして使用しました。

・エンタテインメント業界を標的にしたサイバー攻撃:2014年11月、北朝鮮の指導者の架空の暗殺を描いた映画「ザ・インタビュー」への報復として、ソニー・ピクチャーズ・エンタテインメントに対する破壊的なサイバー攻撃。2014年12月、映画を上映する予定だったAMCシアターズをターゲットにした。2015年のマンモススクリーンの侵入は、北朝鮮で捕虜になった英国の核科学者を含む架空のシリーズを制作していました。

———————

などなど。

 

ロシア・北朝鮮のサイバー犯罪は、政治的報復、破壊工作と、民間企業への純然たる金銭の詐欺・恐喝・窃盗が、西側国家に対するサイバーテロ行為として組み合わさっていて、どちらもが犯罪国家として立派な「本業」という、恐ろしさがあるのである。

西村幸三

lawfield.com

京都・烏丸三条にある法律事務所を運営。ニュース・法改正・裁判例などから法務トピックを取り上げていきます。