Scan4You を運営していた罪で昨年逮捕された 2 人の男が、有罪を宣告されました。Scan4You は、マルウェアがセキュリティ製品によって検出されるかどうか、その作成者がチェックできるスキャンサービスです。 シマンテックは、その起訴のための裁判で証言に協力しました。
2 人のうち Jurijs Martisevs は、コンピュータ侵入に関する共謀ならびに幇助の罪で 3 月に有罪を認めています。コンピュータ詐欺悪用防止法(Computer Fraud and Abuse Act)に反する共謀の罪で 5 月 16 日、バージニア州裁判所で有罪判決を受けたのが、Ruslans Bondars です。罪状は、電子詐欺、破損を目的としたコンピュータ侵入ならびに幇助でした。判決は 9 月の予定です。
共謀罪に対する最高刑は、5 年間の懲役、25 万ドルの罰金、犯行で得た利益の全額没収ならびに返還です。コンピュータ侵入に対する最高刑は、10 年間の懲役、25 万ドルの罰金、犯行で得た利益の全額没収ならびに返還です。
Scan4You の稼働は少なくとも 2009 年に始まり、2016 年まで続きました。サイバー犯罪コミュニティが使うアンダーグラウンドフォーラムで宣伝され、利用者は 3 万人を越えています。Bondars は、このサービスの技術面を担当し、インフラストラクチャと Web サイトを管理していました。Martisevs はカスタマーサポート担当で、連絡方法は主にメールかインスタントメッセージでした。
FBI の捜査で見つかった Scan4You ユーザーのひとりは、Scan4You でテストしたマルウェアを使って、およそ 4,000 万件ものクレジットカード番号とデビットカード番号を米国の小売業者から盗み出していました。この攻撃による被害額は、ある小売業者 1 社だけでも、約 2 億 9,200 万ドルにのぼります。
Scan4You は、金融機関を狙うトロイの木馬として名高い Citadel の開発にも利用されました。Citadel は、全世界で 1,100 万以上の被害者を出し、被害総額は 5 億ドルを上回っています。
シマンテックの Vikram Thakur が、検察側によって専門家証人として法廷に召喚されました。Thakur が証言で解説したのは、正規のマルウェアスキャンサービスの仕組みです。正規のサービスでは、提供されたファイルを分析し、どのセキュリティソフトウェアベンダーがどんな検出名でそのファイルをマルウェアと認識するか一覧で示します。スキャン結果は、サービスに登録しているベンダー全社が利用できます。この点が、正規のサービスとアンダーグラウンドのサービスとの決定的な違いであることを Thakur は強調しました。アンダーグラウンドでは、ファイルを提供したユーザーにしか結果が共有されません。
アンダーグラウンドのマルウェアスキャンサービスを運用するには、複数のベンダーからセキュリティソフトウェアを入手する必要があります。シマンテック製品を、このようなサービスで利用することは、シマンテックのエンドユーザー使用許諾契約(EULA)に違反することを、Thakur は法廷で伝えました。
「正規のサービスでは、お客様を保護するために情報セキュリティのコミュニティで情報を共有することが許可されていますが、不正なサービスはマルウェア作成者が検出をすり抜けるのに利用されます。この両者を区別することが重要です。シマンテックは、サイバー犯罪の撲滅をめざして、法執行機関にも常に喜んで協力しています」。これが Thakur の言葉です。
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。