スパムメールは、多くの人が日常的に迷惑なメールだと考えているが、サイバーセキュリティブロガーのブライアン・クレブス氏が最近出版した本は、はるかに陰惨な実態を描いている。クレブス氏によると、私たちが大量に削除してしまうような安価な処方薬に関するメッセージを作成している旧ソ連の組織や関係者は、不正なクレジットカード処理、個人情報窃盗、フィッシング、ランサムウェア、そして場合によっては過激なポルノにも関与しているという。
クレブス氏は著書『スパム・ネーション:組織的サイバー犯罪の内幕 ― 世界規模の流行からあなたの玄関先まで』で、綿密な調査、調査報道のスキル、そしてロシアの関係者へのインタビューを通して、サイバー犯罪の世界に待望の光を当てています。クレブス氏は2011年にモスクワを訪れ、関係者と面会しました。また、スパムコミュニティの一部のメンバーから提供されたデータベースや記録を解読・分析するためにロシア語も習得しました。
クレブス氏は最近のインタビューで、公務員はこの不透明な地下経済の繋がりを見落とし、脅威を誤認していると述べました。一般のコンピュータやインターネットユーザーは、サイバー犯罪者にとって自身の個人資産がどれほど価値があるかを認識しておらず、それらを保護するための常識的な対策を講じていません。クレブス氏は『Spam Nation』のエピローグで、消費者がPCやメールアカウントをどのように保護できるかについて論じています。
90年代に2年間ロシアで過ごした私にとって、クレブス氏の説明で驚かなかったことは、ビジネスマンやスパム業者は自分たちを法律違反者だとは考えていないということだ。安価なインターネット医薬品の場合、彼らは米国での市場ニーズを察知し、それを追い求めたのだ。
「オンラインセキュリティの弱点を暴く才能を持つクレブス氏は、IT業界では尊敬を集めているが、サイバー犯罪者からは嫌われている」とブルームバーグ・ビジネスウィーク誌は評し、彼を「辛辣な報道で定評のある、稀有なブロガー」と評している。ビジネスウィーク誌の記事では、サイバー犯罪者がクレブス氏に仕掛けてきた、注目を集める手法についても詳細に解説している。
先月、クレブス氏と彼の著書について話しました。彼はまず、なぜこの本の執筆を始めたのかを語りました。
本書の執筆を始めたのは、スタックスネットの事件(2010年)を報じた直後にリークされたデータベースを精査し始めた時でした。これらは、大手製薬会社をハッキングした者たちによってリークされたものでした。情報量が膨大で、圧倒されるほどでした。まるでこの業界の人物像を網羅したロゼッタストーンのようでした。そして、様々なサイバー犯罪活動におけるプレイヤーたちの重なりを明らかにするのに非常に役立ちました。
「私は、これらのコミュニティについて、そこに住んでいない人よりもずっとよく知っていることが明らかになりました。彼らの活動方法や直面しているビジネス上の課題について、私がよく知っているのです。経済的な観点から見ても、これは興味深い話なので、とても興味深く感じました。まるで地下経済のようです。」
彼がサイバーセキュリティを取材し始めてすぐに、ChronoPay というロシアの会社と出会うことになった。
「2008年にワシントン・ポスト紙で、インターネット上の悪事の中心地に焦点を当てた取材を始めました。もしその場所がなくなったら、こうした悪事の多くが消え去るのではないでしょうか?」
「そして、プロジェクトを開始してすぐにChronoPayの存在が私のレーダーに映りました。当時、ほとんどのコンピューターユーザーが抱えていた最大の問題は、不正なスパイウェアやウイルス対策ソフトでした。コンピューターがハイジャックされた後に人々がどのように支払いをしていたかを追跡している研究者と仕事をするたびに、彼らはクレジットカードで支払っていました。研究者たちがそれらの支払い処理者を追跡すると、ほぼ常にChronoPayが関わっていました。」
「その後、ChronoPayが実は2003年にエクストリームポルノ業界でキャリアをスタートさせたロシア人男性2人によって設立された会社だと知りました。2人ともロシアのアダルトサイト運営者向けのアフィリエイトプログラムを運営していて、彼らがより良い報酬を得られる方法を模索していました。そこでChronoPayを設立し、数年間一緒に仕事をしていましたが、その後仲たがいしてしまったんです。」
ChronoPay の 2 人の創設者は、彼のブログ「Krebs on Security」と著書「Spam Nation」でよく取り上げられています。
「イゴール・グセフという男が、薬局スパムプログラムを立ち上げました。それは瞬く間にインターネット上で最も人気のある薬局スパムプログラムとなり、最高のウイルス作成者やスパマーを雇っていました。もう一人の人物、私がモスクワで会ったパベル・ヴルブレフスキーは、まだクロノペイを運営していました。彼はまた、友人と折半出資で、競合する薬局スパムアフィリエイトプログラムを運営していました。このプログラムにも、同じスパマーやウイルス作成者が多数関わっていました。その後、クロノペイはハッキングを受けました。内部者か外部者かは分かりませんが、おそらく内部者が賄賂を渡されて情報を入手したのでしょう。」
最初に受け取ったものの一つは、クロノペイからの膨大な社内メールでした。もちろん全てロシア語だったので、内容を理解するのにとてつもなく時間がかかりました。皮肉なことに、クロノペイの幹部から届いたメールの受信箱は全てスパムメールだらけでした。クロノペイの記録に加えて、ヴルブレフスキー氏が運営していた薬局アフィリエイトプログラム「Rx-Promotion」の内部運営に関する大量の情報も入手しました。それから間もなく、何者かから謎のメールが届きました。「イゴール・グセフという人物と彼の薬局スパム活動に関する情報を知りたいのですが」と。
「原因を突き止めるのに長い時間がかかりましたが、基本的にはヴルブレフスキーが誰かを雇って、競合するスパムメール送信業者のデータベースに侵入し、ダウンロードさせたのです。そのデータベースには、大手スパマーやウイルス作者の銀行口座番号、個人のメールアドレス、インスタントメッセージのアドレスなど、あらゆる情報が含まれていました。グセフの薬局スパムプログラムを実行していた人物の情報も含まれていました。彼らは彼らのチャット記録にもアクセスしていました。私は、どのスパマーがどのICQアカウントを所有しているかを突き止め、彼らが実際にはどのような人物で、どのようなボットネットを使っているかをつなぎ合わせるのに多くの時間を費やしました。最終的に、最大のボットネットマスターが誰なのかを特定することができました。」
私はクレブス氏に、アメリカの消費者にとっての重要なメッセージは何だと思うかと尋ねた。
サイバーセキュリティは世界的な問題ですが、まずは一人ひとりのユーザーから始めなければなりません。多くの人が、なぜこれを気にかけなければならないのかを根本的に理解していません。不満なのは、こういうのは難しすぎる、メールやスポーツのスコアをチェックしたいだけ、という点です。システム管理者になる方法を学びたくありません。オンラインバンキングはしませんし、自分のマシンに機密情報を保存したりもしません。
「個人的な問題ではないと説明しようとはしていますが、あなたのコンピュータは攻撃者にとって価値のあるものです。あなたはその価値のすべてに気づいていないかもしれませんが、彼らは気づいているはずです。私のウェブサイトには、「ハッキングされたPCの価値」や「ハッキングされたメールアカウントの価値」といった、こうした問題に関するグラフィックを掲載しています。」
「残念ながら、人々はもっと気を配る必要がありますが、最近はそれがますます難しくなっています。なぜなら、人々は実際にはあまり気にかけたくないと思っているからです。人々が耳にするのは、データを預けた企業がデータを失ったという話ばかりです。もし企業が私の情報を守れないなら、私に何のチャンスがあるというのでしょうか?インターネットユーザーの間には、宿命論が蔓延しているように思います。」
最近、皆さんに伝えたいのは、コンピューターがハッキングされないようにする方が、ハッキングされてから取り戻すよりもずっと簡単だということです。その理由の一つは、ランサムウェアのような、より高度で凶悪な脅威が人々のシステムに侵入し始めていることです。一度感染してしまえば、システムから問題そのものを取り除くのは簡単ですが、金銭を支払わずにファイルを取り戻すのは至難の業です。
クレブス氏は、法執行機関がサイバー犯罪内の関連性を見逃していることについて率直に語った。
「サイバー犯罪の種類が単独で存在するケースはごくわずかです。ほとんどのサイバー犯罪は、何らかの形で他の犯罪と関連しています。例えば、ボットネットを運営したり、銀行口座を盗んだりする際に、必ず自分のインターネットアドレスを隠す措置を講じます。通常、ハッキングされたコンピューターを使ってトラフィックをルーティングし、おそらくハッキングされたサーバーに盗んだデータを保存し、そしてマネーロンダリングネットワークを使って取引を現金化します。」
公務員がスパム、ひいてはサイバー犯罪を捉える際の問題は、これを「これは個人情報窃盗」「これはスパム」「これはフィッシング」「これはマネーロンダリング」といった具合に、小さな問題にまとめてしまう傾向があることです。しかし実際には、これらはすべてつながっています。サイバーセキュリティがあらゆる問題といかに密接に関連しているか、そして大規模組織におけるサイバーセキュリティの欠如がいかに深刻な形で顕在化するかについて、多くの誤った思い込みがあります。こうした思い込みが時折疑問視され、覆されなければ、事態は悪化してしまうのです。
興味深いことに、スパマーが医薬品を狙ったのは、それが真の市場ニーズであると考えたからです。
「彼らがそれを狙うのは、そこに満たされていない市場があると感じているからです。基本的に、スパムメールの拡散や、一夜限りの薬局の広告に関わっている人たちの多くは、自分たちが何も悪いことをしているとは思っていないと思います。彼らは、真にニーズを満たそうとしているビジネスマンだと自覚しています。第4章「買い手たち」でわかるように、私が取材した中で、確かにそのような意見を耳にしました。」
「ほんの数人に話を聞いてもらうために、データベースに登録されている何百人もの人に電話をかけなければなりませんでした。実際に話を聞いてくれた人たちの多くは、処方薬の費用、つまり実際の費用を払えない状況にある人たちでした。彼らは解雇されたり、雇用主が他の勤務時間を減らしたために医療保険の資格を失ったり、薬代を大幅に削減したり、あるいは全く仕事がなかったりしました。そして彼らは保険にも入っていなかったので、ただ物を買うだけでした。そして、私が話した人たちのかなり多くが、実際にそのような状況にありました。」
