ハッカー集団「FIN7」のウクライナ人メンバーに懲役5年の判決、2000万件以上のクレジットカード番号を盗み被害総額は1240億円超

アメリカ司法省が2022年4月7日に、「ロシアのサイバー犯罪組織『FIN7』に所属し、2000万以上ものクレジットカード番号が盗まれた事件に関与していたとして2019年に逮捕されたウクライナ人男性に対し懲役5年の刑が科された」と発表しました。

Member of Hacking Group Sentenced for Scheme that Compromised Tens of Millions of Debit and Credit Cards | OPA | Department of Justice
https://www.justice.gov/opa/pr/member-hacking-group-sentenced-scheme-compromised-tens-millions-debit-and-credit-cards

FIN7 hacker sentenced to five years - CyberScoop
https://www.cyberscoop.com/fin7-hacker-sentenced-denys-iarmak/

FIN7 hacking group 'pen tester' sentenced to 5 years in prison
https://www.bleepingcomputer.com/news/security/fin7-hacking-group-pen-tester-sentenced-to-5-years-in-prison/

今回、裁判所から懲役5年の刑を言い渡されたのは、FIN7内で「ペンテスター(ペネトレーションテスターの略)」と呼ばれていたハイレベルハッカーのDenys Iarmak(32歳)です。

Iarmakに判決を言い渡したワシントン州西部地区連邦地方裁判所長官のリカルド・マルティネス氏は、2022年2月からロシアによる侵攻を受けているウクライナを西側諸国が支援していることに言及して、「皮肉なことに、あなたが略奪をしていた国があなたの国、あなたの国の人々、あなたの家族を守るための国際的な取り組みを主導しています」と述べたと伝えられています。

Iarmakが所属していたFIN7は、アメリカだけでも3600以上の施設にある6500台以上の販売情報管理デバイスから合計2000万件以上のカード記録を盗んだことが分かっており、被害者にもたらした損害は10億ドル(約1240億円)を上回ると推定されています。また、イギリス、オーストラリア、フランスなどでもFIN7によるハッキング被害が発生しているとのこと。

Iarmakは、2016年11月ごろから2018年11月までFIN7で活動し、マルウェアが仕込まれたフィッシングメールの作成、被害者のネットワークへの侵入、支払いカード情報などのデータの抽出に直接関与した後、2019年11月にタイのバンコクで逮捕されました。当初、Iarmakは終身刑となる可能性がありましたが、裁判所はIarmakが起訴されていた犯罪27件のうち2件のみを追及の対象とし、刑期も5年へと大幅に短縮しました。

Iarmakの他には、同じくFIN7のウクライナ人構成員であるFedir HladyrとAndrii Kolpakovが、2021年にそれぞれ懲役10年と7年を言い渡されており、アメリカの裁判所で裁かれたFIN7の構成員はIarmakで3人目です。

FIN7は、組織内のハイレベルハッカーであるIarmakらが逮捕された後も活動を続けており、2022年1月にはランサムウェア入りUSBメモリを用いた攻撃を行っているとして、FBIがアメリカ企業に警告を発しています。

ランサムウェア入りUSBメモリを送りつける詐欺が増加中、データを暗号化して使用不能にし元に戻すための身代金を要求する手口 - GIGAZINE