ハッキングで世界24カ国のATMから計45億円を数時間で強奪した手口とは？

By Dunechaser

世界中の共犯者と犯行を行うことで、典型的な銀行強盗のイメージにあるような、スキーマスクをしたり、銀行員を脅迫したり、金庫に押し入るようなことはせずに、銀行から約4500万ドル(約45億円)もの大金を盗んでしまった銀行強盗が出現しました。

In Hours, Thieves Took $45 Million in A.T.M. Scheme - NYTimes.com
http://www.nytimes.com/2013/05/10/nyregion/eight-charged-in-45-million-global-cyber-bank-thefts.html?_r=0

24もの国の共犯者たちと緻密で正確な分業を行うことで、この泥棒たちは約4500万ドル(約45億円)もの大金をたったの数時間で盗み出しました。ニューヨーク単体で見ても、2月19日の窃盗開始から10時間の間に、2904台ものATMから合計240万ドル(2億4千万円)を盗んだようです。犯行には腕利きハッカーの関与が疑われており、カード情報を盗みだしそれを使って街のATMからお金を引き出しました。

By debeer.jonathan

最初につかまったのは、ニューヨークでATMから現金を引き出す役割の犯人で、検事は「泥棒はバックパックにATMから盗んだお金を詰めて、街から街へと移動している」と発言。その後ブルックリンの連邦捜査官は、最初に捕まった犯人と同じ罪状で8人を起訴しましたが、その中の主犯格の男はドミニカ共和国で死体となって発見されました。一体どのような方法で犯罪が行われていたのでしょうか。

起訴や刑事告発には、これまでで最も精巧で有効なサイバー犯罪の方法だったとあり、検察官はニューヨークの歴史上最大の強盗であるルフトハンザの強盗に匹敵する犯罪だと言いました。この銀行強盗により、金融機関がサイバー上からの攻撃に対してあまりにも弱いということが明らかにされました。ブルックリンの弁護士ロレッタ・E・リンチ氏は「銃とマスクの代わりに、サイバー犯罪者はパソコンとインターネットを使うんだ」と言います。

By Javier Arce ☄

今回の起訴により、犯人たちがどのようにATMから情報を引き出し、世界中の共犯者たちに渡したのかが判明しています。

最初の犯行で、ハッカーはVISAとMasterCardのデビットカードを扱う、インドの小さな会社のシステムに侵入しました。これらの会社のセキュリティは金融機関のものほど安全ではないと考えられるので、サイバー犯罪者にとっては魅力的なもののようです。その後、ハッカーはアラブ首長国連邦の国立銀行であるRakBankから発行されているMasterCardの、一度に引き出せる限度額を無制限にしました。1度クレジットカードの限度額が無くなってしまえば、少数の銀行口座のデータしかなくとも、たくさんの金額を引き出すことができます。ただし、プリペイドカードを使い個人の口座からお金を盗むことなくATMからお金を引き出すので、金融機関は不正にATMからお金が引き出されていることに素早く気づくことができたようです。手に入れたたった5つの銀行の口座情報を使って、その情報をエンコードした磁気カードを世界中の20カ国にいる共犯者たちに配布を行いました。起訴によると、現金をATMから引き出す係の犯人たちは、最初の犯行で4500ものATMから500万ドル(約5億円)もの大金を引き出したようです。引き落としが終わると、MasterCardはすぐにシークレットサービスにこのことを通報しました。

By Trois Têtes (TT)

「今日の犯罪が過去のものとは違う点は、ネットを使うという点と、ネットは素早いので犯人よりも先に待ち構えるということが難しいという点である。また、世界的に犯罪が繰り広げられるので背後関係や他の法執行機関との連携が非常に難しい」とSecurity Innovation Networkのロバート・D・ロドリゲス議長は言いいます。

By boris.rasin

12月の最初の犯行が上手く成功したので、この犯罪集団はより大胆に犯行を行います。2ヶ月後の2度目の犯行の際は、なんと最初の犯行時の8倍にも及ぶ約4000万(約40億円)ドルを盗みました。

2月19日に現金を引き落とす係の犯人たちは、マンハッタン含め24カ国のATMにおり、犯行実行の合図を待っていました。この時、ハッカーはVISAとMasterCardのデビットカードを扱うアメリカのクレジットカード処理会社のセキュリティに侵入し、オマーンのbank muscatから発行された12のカードの口座情報を手に入れ、その引き落とし限度額を無くし、現金を引き落とす係の犯人たちにより巨額の現金が引き落とされました。引き落とし係の犯人たちは、午後3時からATMで現金をおろす作業を開始して、合計36000回もの引き落としを行い、さまざまな国のATMから合計4000万ドル(約40億円)もの大金を盗み出したというわけです。

By Jenn and Tony Bot

また、ニューヨークでは8人が計240万ドル(約2億4千万円)を盗み、2904回の引き落とし作業を行いました。

さらに日本でもATMからお金をおろす作業は行われており、なんと総額1000万ドル(約10億円)もの引き出しに成功しています。これはいくつかの日本の銀行では、1つのATMから1度に1万ドル(約100万円)もの大金をおろすことが可能であるからだと思われます。

「重要なのは、彼らが金融システムのバランスと限度額を変更できるという点です。もしあなたが、以前には存在しなかったような数百万ドルに一瞬でアクセスできるような方法を持っているなら、それは私たちにとって驚異です」とアメリカ法務省のコンピュータ犯罪部門の元検察官キム・ペレッチさんは言います。

ハッキングされたアカウントの持ち主は不明で、これらの損失の責任を取るべきなのかもしれないと思われています。この犯罪は世界的なものであり、ハッカーがより大きな責任を負うべきなのか、世界のいたるところでのATMからお金を引き出す指揮した人物が責任を負うべきなのか、そのあたりがはっきりしないようで、現在も多くの国で捜査が継続中です。

なお、ニューヨークでATMから現金を引き出す犯行を行っていたグループのリーダーをアメリカの捜査当局は特定、そのグループ構成員である他7名と共に告発しようとしましたが、国外逃亡され、その後なんとドミニカ共和国で死体となって発見されることになり、ドミニカ共和国からのニュースレポートによると、4月27日にドミノ遊びをしていたところを2人のガンマンに襲撃されて死亡、現金約10万ドル(約1000万円)の入ったマニラ封筒には手を着けないままだったということで、かなり深い闇が広がっているようです。

By Instant Vantage