5/10/2013

[IT law] クレカをハック、ATMから45億詐取の国際犯罪組織検挙

クレジットカードのトランザクション管理会社をハックして引き出し上限を改竄、偽造複製したカードを用いて短時間の内に多人数で多数のATMからの現金詐取に成功した集団が検挙されたんだとか。被害額はとりあえず容疑の分、12/21/12に$5million、2/19/13に$40millionの計$45million。前者はテストで2/19の方が本番って事なんでしょうけれども、そちらは僅か10時間の間におよそ20ヶ国で一気に引き出す電撃戦との事で衝撃が走ります。踏み台はまず第一に非公表ながらインドの機関、ここで操作したアラブ首長国連邦はRAKBANK発行のMasterCardのデビットカードのアカウントを用い、2回目はこれまた社名非公表ですが大胆にも米国内の管理会社を使ってアカウント操作したOmanはBank of Muscatのカードを用いたとの事。2/19の時には、例えばマンハッタンだけで3000近いATMから8人が手分けして一気に$2.4millionも引き出し、さらに足がつかないようすぐさま貴金属等に変える事でロンダリングも図るとか極めて計画的です。

うん、凄いですね。Oceans11的とか形容されてますけどそれ以上なダイナミックさ。組織力計画力実行力ともに前代未聞のレベルで、犯罪と分かっていてもその見事な手並みには感嘆の念を禁じ得ません。しかし結局は検挙され、リーダー格はドミニカの自宅で既に死亡している等 、破滅的な結末を迎えているあたりも不謹慎ながら痺れます。強いて言えば一回で完結させず段階を踏んだ点は余計にも思われますが、本番のような規模で実行するにはテストも必須だったんでしょう。

無粋を承知で技術的な面から見れば、本件のような手間も人員も膨大な組織的犯行は現実的には発生しないものと高を括っていただろう信販系のシステムがザルなだけと言うべきところなんでしょうけれども。VisaもMasterもこれまで何回もハックされて来てるのにこうしてあっさりハックされてしまう姿を見るにつけ、絶対完璧安全なシステムというのは事実上存在しない事を改めて思い知らされてしまうのです。顧客に被害が行かなければいいんですが、本件のように管理会社をハックすればそっちの方向もやろうと思えば出来るって事ですし困ったものです。一番困ってるのは信販会社でしょうけれども、それは事業者としての当然の責任なのですから、存分に困りつつ、速やかに十全の対応を取って頂きたく願うところです。

Cybercriminals 'drained ATMs' in $45m world bank heist
Cyberthieves Looted A.T.M.’s of $45 Million in Just Hours

BBCの記事によれば日本も捜査協力国の中に含まれているとの事ですけども、犯行の対象になったのか、単に確認を求められただけなのか。前者なら文化的に孤立性の高い日本までどのように手を伸ばしたのかこれまた興味が惹かれるところです。さて。

と思ってたらゆうちょのATM67ヶ所が引き出しに利用されたとか。しかし総額4億円?と言う事はATM1ヶ所あたり600万?そんなに引き出せるもんなんでしょうか。一日の引き出し上限額が50万との事ですから一ヶ所あたり12口座、全体で1000口座近く必要になる計算ですが・・・まあそれくらいは用意してたんですかね。
※当初金額を勘違いしていました。修正済です。大変失礼致しました。