Luther Bottrill

（少し前にtwitterで連投した内容を以下まとめました。）

ロシア、中国、北朝鮮がどれくらい国家的、組織的にハッキングしてるかは、普通のアメリカの新聞で頻繁に報道されている。

北朝鮮のハッキング部隊は2017年で6000人とのこと。

North Korea’s army of more than 6,000 hackers is undeniably persistent, and undeniably improving, according to American and British security officials

そして北朝鮮のハッキングの目的はソニーメールのリークのようなカオスを起こすことから、金銭争奪になってるらしい。

Lazarus was suspected of being responsible for the US$81 million cyber attack on the Bangladesh central bank in 2016. The group is also suspected of being linked to the global WannaCry ransomware cyber attack in 2017 that infected more than 300,000 computers in 150 countries.

(Lazarusは３つある北朝鮮の国家的ハッカー組織のうちの一つ。)

国連いわく、北朝鮮が不正ハッキングで稼いだ額は20億ドルにのぼる。

ちなみに、去年のWall Street Journalによれば、国家精鋭ハッカーたちは、こうした違法行為の他に、UpworkやFreelancer.comといったオンラインジョブサイトで世界からコーディングの仕事を受託、Github、Paypal、LinkedIn、Facebookなどを駆使しながら、ウェブデザインやモバイルゲーム開発などをして外貨を稼いでいるとのこと。切実である。涙ぐましいというか。

なお、上記の「北朝鮮のハックが金銭目的に」というのはロシアのセキュリティソフト会社Kasperskyの今年の5月の発表によるものだが、そもそもロシア自体、超精力的にインターネットを武器にしている。ハッキングは無論、セントペテルスブルグにInternet Research Agency (IRA)という「トロールファーム」がある。トロールはFacebookやTwitterで嘘や嫌がらせのポストをすることだが、偽アカウントを大量に作ってトロールし続ける人海戦術組織がIRA。（IRAでトロールとして実際に働いていたロシア人のインタビューも広くメディアに出回っている。これとかこれとか。それによれば、 IRAは週給US$1400らしい。セントペテルスブルグの平均は週給US$700を切るようなので倍です。「ヒラリーはピザ屋で子供のポルノ」とか書く人材を常時キープするにはそれくらい出さないと、ということであろう。）

＋＋＋＋

一方、一般人にも馴染み深いハッキングといえばクレジットカード情報の盗難。これはもう相当前から国家と関係ない犯罪も含めてグローバル産業化し、下記のような分業が成立している。

1. ハッカーがクレジットカード情報、口座アクセス情報など盗む
2. 盗んだデータはTORでしかアクセスできないdark webでオークションにかけられる
3. データを買った人（またはそこからさらにデータを買った人）が末端の人間を雇い、転売が容易な物品を買うなどして現金化

２の「ダークウェブ上で盗難クレジッドカート情報を売る」というところは、下記のように整理されたショッピングサイト状態で、国やクレカの種類、地域などで検索ができるようになっている。気になる盗難クレカ情報のお値段はというと、盗まれてからの時間経過や情報の深さでかわるようだが、アメリカのものだと$9.99から$19.99程度で流通している模様。

個人的には、「500キロくらい離れた行ったこともない街で、ATMカードで1000ドル降ろされた」ということが7−8年前にあり、発行元の銀行に電話したら「大規模な流出があったことが認識されており、あなたの被害もその一部なのですぐ返金する」と言われた。被害があってから私が気づくまでに3ヶ月くらいかかっていたのだが、気がつかなかったらそれっきりだったのか。大規模な流出がわかった時点で連絡して欲しいぞ。（というか、告知しなければならないという法律があるはずなのだが。）

なおこの手の「大規模な流出」はかつては非常に多く、大手金融機関でダークウェブを張ってるセキュリティチームが監視してたりした模様だ。「うぉ、うちの銀行が発行してるカード番号大量流出」などと、慌てて出回っている限りのデータを買い集めたり（いまはもうその手の流出は減ってきている）。

３の「末端の人間」には「家でできる簡単なお仕事」などの電信柱のビラで集めたオンライン発注人材もいる。本人は盗まれたクレカだとは知らずに「自分のアカウントでAmazonにログインして、（盗まれた）カード情報で、商品を買って指定の住所に送る」といったことをさせられる。なかには売春組織と兼業の団体もあるとのことで、本業が暇な時はこちらをさせるらしい。昼はカフェで夜はバーになるPRONTOなのか。（ソース：a16zの2019年6月25日のポッドキャスト）

わたしのクレカも、テキサスのモールで1日で200ドルくらい不正使用されたことがあった。利用の中身はXBoxのような転売しやすいものではなく、「食事80ドル」とか「洋服45ドル」など、「普通の人が買い物に行きました」的なもの。これは、盗んだクレカ情報で物理的なカードを偽造して売り払った転売人がいたのだろうか。

＋＋＋

とはいえ、この手の「クレカ情報まとめて盗難」というのはICチップ導入など対抗技術の進歩で非常に困難になってきており、その代わりに絶賛成長中なのが「架空人間合成詐欺」。人間が手間暇かけて2年くらいかけて架空の人格を作り出す、というもの。

適当な名前、住所、メアド、ソーシャルセキュリティ番号を組み合わせて、クレジットカード申請をし、それを繰り返すと「そういう人がいる」と信用会社3社のデータベースに載る。それを元にクレカを作って少額の買い物をし続け、かつの返済を続けるなどし、信用スコアを高め、十分高くなったところでドーンと限度額の大きいカードで詐欺をして逃げる。

架空の人を作りだし、その信用スコアをあげるには2年くらいかかるとのことで、かなり労働集約型である。まだそれほど組織的には行われておらず、米国のいくつかの地域で「地場産業」的に発展しているらしい。

中には、「一つの住所に住む20代の子供5人とその両親」というように、多数を同時に育成している意欲的なケースも発見されたとのこと。

以上、世に犯罪のタネは尽きず。

おあとがよろしいようで。