小売店などのPOSシステムにマルウエアを仕掛けては、合計170万件ものクレジットカード番号を盗んだとして、懲役27年の有罪判決が下ったロシア人ハッカーがいる。彼が有罪になった背景には、なんと「パスワードの使い回し」があった。

 ロシア人ハッカーの名前は、Roman Seleznev受刑者。Seleznev受刑者がインド洋に浮かぶリゾート地であるモルディブで、米国政府によって身柄を拘束されたのは2014年7月のこと。罪状はクレジットカード番号の窃盗だ。Seleznev受刑者は2016年に懲役27年の有罪判決を受け、現在は米国の刑務所に収監されている。

POSシステムにマルウエアを仕掛けてカード番号を窃盗

 Seleznev受刑者は2005年ごろから、米国のホテルやレストラン、小売店などにあるPOS(販売時点情報管理)システムにマルウエアを仕掛けてはクレジットカード番号を盗み出し、それをロシアなどの闇市場で販売していた。Seleznev受刑者が販売したカード番号は不正請求などに悪用され、利用者や金融機関に損害を与えた。

 実はSeleznev受刑者はロシアの国会議員の息子であり、米国政府がモルディブという海外でSeleznev受刑者の身柄を拘束し、米国領のグアムに移送して逮捕したことは、米露間の外交問題にまで発展したという。

 米国政府はどのようにしてSeleznev受刑者を逮捕し、Seleznev受刑者が有罪であるという証拠を集めたのか。その経緯の一部が、2017年7月下旬に開催されたセキュリティカンファレンス「Black Hat 2017」で明らかになった。米司法省のNorman Barbosa氏らによる講演「OCHKO123 - How the FEDS caught Russian Mega-Carder Roman Seleznev」の内容に基づき、解説しよう。

170万件のカード情報を盗んだ「メガカーダー」

 1984年生まれのSeleznev受刑者は、未成年だった2002年ごろから「nCuX」というハンドル名で、犯罪者によるオンラインコミュニティで活動していた。当初はオンラインサービスのユーザー名やパスワードを盗み出す活動をしていたが、2005年からは「マネタイズ」が容易なクレジットカード番号の窃盗に手を染め始めた。

 オンライン犯罪コミュニティでは、「マルウエアを開発する人」「マルウエアを使ってクレジットカード番号などを盗み出す人」「盗まれたカード番号を悪用する人」といった具合に、分業が進んでいる。Seleznev受刑者はカード番号を盗み出す「カーダー(Carder)」だ。170万件ものカード番号を盗んだSeleznev受刑者を米司法省は「メガ(百万)カーダー」と呼称している。

 米国の司法当局は2009年に、ハンドル名「nCuX」の動向を一度はかなり掴んでいた。「nCuX」を逮捕するために、米国の司法当局がロシア連邦保安庁(FSB)と会合を持ったこともあったという。ところがFSBとの会合があった直後に「nCuX」オンライン犯罪コミュニティから姿をくらましたため、Seleznev受刑者の逮捕にまでは至らなかった。

 Seleznev受刑者はその後、「Track2」と「Bulba」という二つのハンドル名でオンライン犯罪コミュニティで活動を再開した。「Track2」と「Bulba」は、オンラインの闇市場でクレジットカード番号を大量に販売する「大物カーダー」として認識されていた。