** 本記事は、Beyond the kill chain: What cybercriminals do with their money (Part 2) の翻訳です。最新の情報は英語記事をご覧ください。**
コンテンツ警告: ソフォスが発見した一部の行為の性質上、本連載記事には一部の読者にとって不快に感じられる可能性のある内容が含まれています。これには、不適切な言葉遣い、薬物や薬物依存、ギャンブル、ポルノ、暴力、放火、性風俗業に関する言及が含まれます。これらの言及は文章によるものであり、画像や動画は含まれていません。
サイバー犯罪以外のビジネスに投資しているサイバー攻撃者に関する連載の第 1 部に続いて、いわゆる「ホワイトな」活動を見ていきましょう。ホワイトな活動とは、一部のサイバー犯罪フォーラムのユーザーが使用している用語で、合法的なビジネスを意味します。これらのビジネス自体は必ずしも違法ではないものの、その活動はしばしば犯罪行為と関連しており、汚染されているケースが多く見受けられます。
ソフォスは、合法性が司法管轄によって異なる可能性があることを理解しています。しかし、これらの活動の範囲と深さを考慮すると、何らかの方法で分類せざるを得ません。そして、サイバー攻撃者自身のカテゴリを使用することは、完璧ではないにせよ論理的な選択と言えるでしょう。
第 2 部の主な調査結果
- 犯罪フォーラムでは、サイバー攻撃者がさまざまな「合法的な」ビジネス (これらのフォーラムでは「ホワイト」と呼ばれる) について議論しており、それらのビジネスの範囲は複数の業種や業界にわたっています。具体的には、金、ダイヤモンド、不動産、建設、株式、レストラン、教育など、多岐にわたります。
- このような活動の中にはマネーロンダリングに関連するものもありますが、サイバー攻撃者には投資によって多角化を目指している場合もあります。
- 多くのサイバー攻撃者は、どこに、どのように資金を投資すべきか犯罪仲間に助言を求めて、また受けています。
- このブログで報告するいくつかの分野のビジネスは、セキュリティ業界にも大きな影響を与える可能性があります。なぜなら、サイバーセキュリティ企業への投資、輸出入制限の回避の試み、そしてプロキシサービス、ホスティングサービス、VPN サービスの運営などが投資先に含まれているからです。
- フォーラムの議論から、サイバー攻撃者を追跡し、地理的位置の特定、身元の特定に使用できる可能性のある情報や画像が明らかになったケースもありました。
シェルカンパニー (実態のない幽霊会社)
シェルカンパニーはマネーロンダリング目的で設立されることが多いが (第 1 部を参照)、フォーラムではいくつかの興味深いタイプの会社を発見しました。
サービスとしてのシェルカンパニー
あるサイバー攻撃者は、米国に 3 つの拠点を置くターンキー型 (企業設立手続きが完了しており、法人番号や登録も済んでいる) の企業と銀行口座を販売 (3900 ドル) すると宣伝していました。また、バイヤーの代理人名義で新たに米国企業と 3 つの銀行口座を登録するサービス (4990 ドル) や、サイバー攻撃者自身の代理人名義で登録するサービス (3500 ドル) も提供していました。この投稿には、カリフォルニア州の非営利法人の情報報告書の写真が添付されていました。このサイバー攻撃者はいくつかの詳細は隠していましたが、名前、住所、文書参照番号の一部は表示されたままでした。
図 1: シェルカンパニー設立の広告を掲載するサイバー攻撃者
図 2:情報報告書の例を投稿した同じサイバー攻撃者。なお、サイバー攻撃者は、白い紙で隠して一部の情報を自分で隠していましたが、他の重要と思われる情報 (ソフォスが黒塗り) は表示されたままであった
また、イギリス、ジブラルタル、パナマで企業を設立するサービス (1900 ドル) を提供する広告も確認しました。このサービスは、「カッコースマーフィング (cuckoo smurfing)」という何も知らない個人のアカウントを利用して、違法な金融取引を促進する特定の種類のスマーフィングのためのものであり、これは金融関連サービスの内部関係者が正当な取引を傍受し、違法な取引と混ぜ合わせる方法です。
このサイバー攻撃者は、会社名と会社番号など、登録したと主張する会社の例を提供していました。ユーザーによると、このサービスにはバーチャルオフィス、英国の住所、定款、法人設立証明書、英国の電話番号が含まれます。
ソフォスが例として示されていた企業を調査したところ、強制的に登記が抹消されるまで、1 年以上活動していたことがわかりました。ソフォスは、イギリス政府の組織で、英国で登録されている企業に関する情報を記録・管理する機関である Companies House を通じて、取締役やその企業を登録した代理店の名前と住所を特定することができました (その代理店は複数の他のイギリス企業の代理人を務めており、そのいくつかは現在も活動していますが、これらの企業の一部またはすべてが合法である可能性もあります)。
図 3:企業登録の広告を投稿し、「カッコースマーフィング」と呼ぶ手法について説明しているサイバー攻撃者
図 4:同じサイバー攻撃者は、自らの「最新の成果」の一例を提供しており、ソフォスは Companies House でもその「成果」を確認した
制限の回避
あるサイバー攻撃者は、認証されているソフトウェア企業の登録方法についてアドバイスを求めており、「Cobalt Strike を購入する目的ではない」と付け加えています。
別のユーザーは、「機密のテクノロジー」を注文するために米国に拠点を置く企業を設立できると述べています。そのユーザーはさらに、「チップ/ソフトウェア/エンジン/その他はラテンアメリカに送られ、そこから合意した他の場所に送られる」と述べています。
図 5:「機密のテクノロジーを注文する」ための企業の設立を持ちかけるサイバー攻撃者
サイバーセキュリティ
ハッシュの復号
Google Cloud、AWS、Azure を使用してハッシュ復号サービスを立ち上げる提案も見つかりました。ハッシュ復号サービスを運営または利用することは必ずしも違法ではありませんが、サイバー犯罪者は、侵害したデータにあるハッシュを「解読し」、平文のパスワードを復元するためにハッシュ復号サービスを利用する場合があります。
投資
また、有名なサイバーセキュリティベンダーへの投資を勧める提案も見受けられました。その企業が別の会社を買収するという噂の詳細も含まれていました。皮肉ではありますが、これはサイバー攻撃者が、これらの攻撃を追跡して阻止する企業の株主となり、その結果、企業の決定に投票したり、配当金を受け取ったりすることができるようになるという懸念すべき可能性を浮き彫りにしています。
図 6:非常に有名なサイバーセキュリティベンダーに投資することを勧めているサイバー攻撃者
スタートアップ企業の設立
ソフォスは、セキュリティスタートアップ企業の設立を提案する 2 つの投稿も見つけました。1 つ目は、「エクスプロイトの開発とソフトウェアおよびハードウェアの脆弱性の分析する企業」であり、もう 1 つは、「既に発見された脆弱性を、依頼元以外で必要としている人に合法的に販売する方法」に焦点を当てていました。どちらの場合も、ロシアよりもアメリカやヨーロッパの企業が適しているとの意見がありました。
あるユーザーは、「脅威インテリジェンスに意味なんてなく、ただのいんちき。利益が出るらしく、購入する企業もあるが、必要なコストはフォーラムパーサー 3 つと Twitter のブログだけ」とサイバーセキュリティ業界を批判していました。
図 7:あるサイバー攻撃者は、自分で設立したサイバーセキュリティのスタートアップ企業を犯罪フォーラムで宣伝し、脆弱性の研究、デバッグ、コーディング、ファジングに関する「知識を持つ人材」を求めていると記載している
IT およびインターネットサービス
オンラインサービス
このトピックに関するスレッドは以下の通りです。
- 既存のドメインを取引するビジネス
- API マーケットプレイス
- 「当社のサービスを販売するビジネスパートナーを募集します。当社は 14 年の歴史を持つ IT ソリューションを扱う代理店です」という呼びかけ。このソリューションには、Web サイトやソフトウェアの開発、ソーシャルメディア、メールマーケティングなどが含まれています。
図 8:既存の「IT ソリューション」企業のビジネスパートナーを探しているサイバー攻撃者
モバイルアプリ
さまざまなサイバー攻撃者がモバイルアプリへの投資を求めており、モバイルフィットネスアプリのスタートアップ企業や、ロシアのカザンで開発された既存のモバイルアプリスイートへの投資も呼びかけられていました。
フランチャイズ契約として配信されるこのアプリスイートには、以下のアプリが含まれていました。
- ロイヤリティポイントとアフィリエイトプログラム
- オファー
- 顧客フィードバックの活用
- 顧客データの収集やその他
あるユーザーは、これはマルチレベルマーケティング (マルチ商法) では?と述べていました。この点についてはこの連載の後半で詳しく取り上げます。
図 9:新しいモバイルフィットネスアプリ事業のパートナーを募集していたサイバー攻撃者。この業務には、顧客とのコミュニケーションとインスタグラムのメンテナンスが含まれていた
ソーシャルネットワーキング
このカテゴリのスレッドには、「Instagram を凌ぐような影響力を持つ可能性がある企業」への投資機会や、UAE でホストされるソーシャルネットワークを立ち上げる事業計画などがありました。
物理的なサービス
あるサイバー攻撃者は、iCloud アクティベーションのバイパス、ジェイルブレイクのインストール、Apple ID の削除など「Apple デバイスを修理するための独自のサービスを立ち上げる」ことを犯罪仲間に勧めていました。
図 10:あるサイバー攻撃者は、犯罪仲間に「Apple デバイスの修理サービスを立ち上げることを考えてみてはどうか」と呼びかけていた。「今、これは需要があり、投資は最小限で、仕事は合法的」とも述べていた。
興味深いことに、VHS テープをデジタル化するビジネスプランも発見しました。
暗号通貨/通貨取引所
ソフォスは、暗号通貨/通貨取引所に関連する以下のようないくつかのビジネス提案や投資広告も見つけました。
- Tor/I2P やミキサーを使用した取引で、KYC (顧客確認) がないため、マネーロンダリングに最適
- NFT マーケットプレイス (百万ルーブルで購入可能な、既製のサービスを含む)
- クラウドマイニングへの投資機会 (「資金の調達元は問いません。資金のリターンの概算は20万~30万ドルの投資で数百万ドルになります」という投稿)
- ウクライナ国内にある GPU を大量に配置したマイニング施設の開発への投資機会
- 新しい暗号通貨のハードウェアウォレットを開発する提案
図 11:ウクライナ国内にある GPU を大量に配置したマイニング施設の開発のための投資を求めるサイバー攻撃者 (2022 年のロシアによるウクライナ侵攻前に掲載)
あるユーザーは、「ロンドン郊外にある小さなオフィススペース (80㎡) を所有することになった。オフィス内にはサーバーが十数台あり、素晴らしい 10GBPS のインターネット回線が供給され、すでに 2 年間分の料金が支払われている」と述べています。
そのユーザーは次のように続けています。「私は合法的にイングランドに滞在しています、別のビジネスも運営しています…このシステムを使用してどのように利益を最大限に絞り出せるでしょうか?」他のユーザーから出されたアイデアには、ゲームサーバー、ホスティング、そして ISP になることが含まれていました (最後のアイデアは、13 年間 ISP を運営していたと主張するユーザーの意見でした)。最終的に、ユーザーはイーサリアムのマイニングファームを作ることを決定しました。
図 12:「ロンドン郊外に 10 GBPS のインターネット接続環境を完備したオフィススペースがある」というスレッドで、あるサイバー攻撃者はビジネスのアイデアと提携の提案を求めていた
ホスティングおよびプロキシサービス
ソフォスは、ホスティングおよびプロキシサービスに関連するいくつかの提案や稼働中のビジネスを見てきました。「すべての機器を購入し、約 1 万ドルを投資しました」また「複数の SaaS、IoT、e コマース、ブローカー事業を運営しており、米国で 4 件、英国で 1 件の事業を展開しています」などの投稿がありました。
この後者のサイバー攻撃者は、自身の SaaS およびホスティングサービスは「グレー」なビジネスであると主張しており、e コマース事業では PayPal を通じて 8 万ドルを稼いだこと、そしてブローカー業務については「自社の CPA (公認会計士) ライセンスのもとで取引をしているに過ぎない」と述べていました。
図 13:プロキシサービスに関する助言を求めるサイバー攻撃者
また、あるスレッドでは、既に稼働している 5 年目のホスティング会社について述べており、「軍需工場跡の防空壕にあるデータセンターに拠点を置いており、地下 5 メートルの深さに位置しています。すべての設備は整っていて稼働していますが、顧客はほぼいない」と書かれていました。
図 14:「軍事工場跡の防空壕にある」既存のホスティング会社がより多くの顧客を獲得する方法について助言を求めるサイバー攻撃者
ホスティングやプロキシサービス (あるいは他の「正規の」IT やオンラインサービス) を運営するサイバー攻撃者の存在は、ユーザーのデータや活動が不正に監視、窃取、販売され、その他の方法で悪用される可能性を高めます。また、サイバー攻撃者が自らのインフラを攻撃に利用するリスクもあります。
隠れ蓑
マネーロンダリングや収入を合法化するための IT/インターネット関連の「隠れ蓑」となるようないくつかの提案がありました。例えば、「監査ログなしの VPN サービス」、「信頼性の低い仮想通貨や NFT ミームプロジェクト」、そしてサイバー攻撃者が「膨大な額を手に入れることができる不正に仕組まれた「オンラインカジノプロジェクト」などです。
図 15:「犯罪で得た資金を洗浄するための合法的なビジネス」をいくつか提案するサイバー攻撃者
金とダイヤモンド
投資
ソフォスは、2010 年から著者自身がどうやら行っていた金への投資に関する詳細なガイドを見つけました。このポスターには以下の詳細なオプションが記載されていました。
- 地金の購入 (簡単に購入できるが 18% の税金がかかる)
- 投資コインの購入 (税金なし、手に入れやすく利益も上げやすいが、より高価)
- 金融機関で金 (ゴールド) を預けるための特別な預金口座の開設 (短期投資家向き)
- 金鉱採掘会社の株の購入 (リスクは高いが、高い利益を得られる可能性がある)
このサイバー攻撃者は、多くの投資家にとって最適な選択肢は、銀行に金を預けるための口座を開設することであり、いくつかのロシアのリンクを共有しています。
図 16:金投資のガイドを投稿し、いくつかの方法を詳述するサイバー攻撃者
コインや金 (ゴールド) のための暗号通貨
あるユーザーは、暗号通貨 Monero を金貨や金地金と匿名で交換する方法について情報を共有しています。具体的には、P2P のオフショアマーケットプレイス「Liberland Shield」で認証された供給業者を利用し、米国造幣局の金貨や PAMP Suisse の金地金を購入し、購入者はそれを「現金を郵便で受け取る際に通常使用している匿名住所」に届けてもらったと述べています。この住所は、LocalMonero で XMR を現金に交換するときに、現金を受け取るために使っている住所であると述べています。このバイヤーは、金地金の一部をカリフォルニアに持ち込み、現金と交換したとされています。
図 17:あるサイバー攻撃者 (第 1 部で、ホームレスに銀行口座を開設させるために金やドラッグで賄賂を贈ったことを認めたユーザーと同じ攻撃者) は、モネロをコインや金地金に交換する方法について説明している)
ダイヤモンド
あるサイバー攻撃者は、(余程無能でなければ) ダイヤモンドは現金化でき、親族名義の貸金庫に隠すことができ、追跡はできないと述べています。
このユーザーはまた、ダイヤモンドを使った資金洗浄のスキームについて以下のように説明しています。
- ダイヤモンドの取引を学び、ディーラーライセンスを取得する
- 「アフリカの諸国」に渡航して、1 万ドルでダイヤモンドを購入し、30 万ドルの領収書を要求する
- 別のディーラーにそのダイヤモンドと 35 万ドルの「汚れた金」を渡す
- そのディーラーに 35 万ドルを自分の銀行口座に送金させ、領収書を発行する
このユーザーはさらに、ダイヤモンドは金よりも洗浄しやすいと主張しており、その理由について「税関を通しやすく、ダイヤモンド業界の人間は全員汚れていて口が堅い」からと述べていました。
図 18:マネーロンダリングにおけるダイヤモンド取引の利点を強調し、「マネーロンダリングにおける夢のような手段」と表現しているサイバー攻撃者
株式と投資
このトピックに関するスレッドは以下の通りです。
- 企業株の購入方法、証券会社の選び方、アメリカ企業とロシア企業のどちらに投資すべきか、あるいは「自国で特定のニッチなビジネス分野を狙っている」国 (主に中国) への投資についてのアドバイスを求めるユーザー。
- 外国の経済に対して長期的な投資 (5 万〜10 万ドル) を検討しているユーザー。「優先すべきは収益性ではなく、預金の安全性と資金を自由に利用できること」と述べています。
- スタートアップ企業への投資を目的に「アメリカの起業家の連絡先」を探しているユーザー。
- 自身の仮想通貨を「トレード機能」に投資する計画を立てており、「会社の登記と国際取引所での口座開設を行えるパートナー」を探しているユーザー。
図 19:中国への投資に関するアドバイスを求めているサイバー攻撃者
また、以下のような助言や提案も観察されています。
- S&P 500 のようなインデックスファンドへの投資を勧める意見。「年率 11 %のまずまずのリターンが期待できる」と述べています。
- 共同投資の提案 (「取引する資金を決めてもらい、どのような売買を行うかを指示する。利益配分は、投資する側が 60% で助言する側が 40%」と述べています)。
- 「利益の出る金融投資のためのビジネスパートナーを探している」というロンドン在住のユーザー。
- 信頼できる証券会社の選び方に関する助言 (「最近の出来事 (おそらく 2022 年のウクライナ侵攻を指している) を踏まえ、アメリカの証券会社はロシア連邦の企業との取引をほとんど行わないが、常に回避策はある」と述べています)
- スタートアップ企業の立ち上げに関する詳細なガイド (投資家の確保、プレゼンテーション作成、ピッチ、ビジネスアクセラレーターへの応募などに関する助言)
- 自身を投資家と称し、投資先を探しているユーザーの投稿
図 20:犯罪フォーラムに「利益の出る金融投資のためのビジネスパートナーを探している。イギリス人を優先的に検討する」と投稿した「ロンドン在住」と自称するサイバー攻撃者
また、多くのスレッドでユーザーが一定の資金 (通常は数万から数十万ドル) を所有しており、投資のためのアイデアを求めていることが確認されています。例えば、あるスレッドでは「自分が手を染めてしまって後悔している活動で小さな資本を稼いだ」ユーザーが、「年利 20~30% で合法的 (ホワイト) などの企業にどのように投資すべきか」という助言を求めていました。そのスレッドのユーザーは、車の再販、中国製品、そしてロシア、ルーマニア、モルドバの市民権取得といった複数のアイデアを提案していました。
これに対し、別のユーザーが詳しいアドバイスを行い、最後に次のようにコメントしています。「月並みな提案もしておきます。利益を上げたあのテーマ (サイバー犯罪) に戻ること。」(これは共通のテーマになっており、今後の連載でサイバー犯罪への再投資についても取り上げます。)
図 21:「自分が手を染めてしまって後悔している活動で小さな資本を稼いだ資金」をどこに投資すべきかを仲間に尋ねているサイバー犯罪者
同様の内容の他のスレッドには、以下のような投稿もありました。
米連邦刑務所での 2 年間の刑を控えている (銃器密輸の罪により) 人物が、釈放後の資金を確保するために 2500 ドルをどこかに投資したいと相談。
- 10 万ドルの投資先となる「グレー」なビジネス (提案には不動産、株式、暗号通貨、バーの買収、レンタカー、金などが含まれています)
- 10 万〜30 万ルーブルの投資先 (提案には株式、トレーディング、不動産、建設、車両などが含まれています)
- 70 万ドルの投資先 (提案にはゲーム開発、有名なテクノロジー企業の株の買収、ホテルなどが含まれています)
- 「戦争 (おそらくロシアによるウクライナ侵攻) により注目を集めている新しい動向、特に石油・ガス分野について推奨される投資先」を求めるユーザー
- 8 万〜10 万ドルの投資先 (このスレッドではユーザー自身や知人の複数の経歴が明かされています)
- 50 万ドルを使ってロシアでどのようなビジネスを始めることができるか
後者のスレッドには、いくつかの経歴情報が掲載されており、「俺たちの仕事には年金なんてないのだ」と多くのユーザーが共感しそうなコメントもありました。
図 22:刑務所に入る直前に犯罪フォーラムで投資のアドバイスを求めている米国在住 (自称) のサイバー攻撃者
図 23:仲間に投資先の提案を求めるも、詐欺、建設、不動産、薬物、レストラン業には興味がないと述べている、投資家を自称するサイバー攻撃者
余談ですが、この後者のスレッドでは、あるユーザーがサイバー犯罪をテーマにしたロシア語ラップのボーカロイド曲の音声クリップも共有しています。(抜粋:「昔はロシア系のネットワークに手を出すとBANされたものだが、今じゃそれが当たり前。あいつらのロッカーに向けて全トラフィックを買って送り込んでやがる。ボットを使って小銭を稼ぐ。まるで乞食みたいに。」)
不動産
投資
不動産投資を検討しているサイバー攻撃者による以下のような複数のスレッドが確認されています。
- UAE (アラブ首長国連邦) で不動産を購入する際、当局が資金の出所に関する情報を求めるかどうかを尋ねるユーザー
- 「一度も正職に就いたことがない」と述べるユーザーからの、不動産投資について、そして国 (ロシア) に対して「自分は清廉潔白で無害な存在である」と見せる方法についての質問
- ロシア連邦に居住している人物がヨーロッパで不動産を購入する方法についての質問 (回答には、資金を合法化する手段を探す、親族からの贈与と主張する、NFT を活用する方法などが含まれていました)
図 24:UAE (アラブ首長国連邦) で不動産を購入する際に、当局が資金の出所についての情報を求めるかどうかを仲間に尋ねていたサイバー攻撃者
助言
不動産取引にすでに関与しているサイバー攻撃者によるスレッドも確認されました。その中には、土地の売買による資金洗浄の手口も含まれていました。「砂漠地域や山間部の激安の土地を見つけた。売り手は経歴や信用を一切チェックしない。昨夜問い合わせたばかりの土地を、今朝にはもう契約できた。」
図 25:土地の売買を利用した資金洗浄スキームの詳細を共有するサイバー攻撃者
また、地方の不動産プロジェクトに関するガイドも確認されました。そこには、価格、建設コスト、投資収益率 (ROI)、およびサービス内容 (合同会社の設立、現金の銀行振込、経験豊富な請負業者) などが記載されており、拠点はサンクトペテルブルクとモスクワにあるとされています。その投稿者は (「長年建設業に携わっている」と述べており)、自身が関わった具体的なプロジェクトについて言及し、関連すると思われる 2 枚の写真をアップロードしています。
図 26:自身が扱った不動産プロジェクトに関連している可能性のある写真を共有するサイバー攻撃者(その写真の出所は不明)
最後に、不動産会社に知人がいると主張するユーザーのスレッドも確認されています。「マネーロンダリングの方法を探しているなら取引を手配可能。依頼先は仮想通貨で対価を受け取ることができる。2 部屋のマンション (64 平米) が 5 万 4,000 ユーロ。」
業界に関する議論
あるユーザーは、次のように述べていました。「不動産に目を向ける傾向が強まっているように見えるけど。日焼けサロン、タトゥー店、洗車、ドッグブリーダー、ホスピタリティはダメなのか?これはあくまでイギリスのことで、アメリカやヨーロッパの状況やトレンドは分からない。」これに対して、他のユーザーは次のようにコメントしていました。「不動産がこれほど人気なのは、単に取引が比較的簡単なだけでなく、短期間で大量の資金を「洗浄」できるからだ」
図 27:「麻薬の売人がマネーロンダリングの手段として不動産に手を出す傾向が強まっている」ことについて議論するサイバー攻撃者
建設
建設資材 (木材、金属、セメント、コンクリート、モルタルなど) を転売して利益を上げる詳細なスキームも確認されています。このスキームは、複数のロシアの供給業者 (実名が挙げられていた) を見つけて、少額の手数料で彼らの商品を代理販売し、Avito (ロシアのクラシファイド広告サイト) やVKontakteで購入者を探すものです。このスレッドには、WhatsApp の会話のスクリーンショットが複数添付されており、その中には建設現場の写真や、銀行振込の確認画面のスクリーンショットも含まれていました。
図 28:「建設資材で稼ぐ方法」に関するスレッドには、WhatsApp のスクリーンショットが複数投稿されており、その一つには特定の場所の写真と、銀行振込の確認書が添付されていた (この銀行振込確認書のスクリーンショットは、別途個別にも投稿されていた)。銀行振込の確認書の一部の情報は伏せ字になっていましたが、それでも金額や日付、時刻など、有用になり得る情報が確認できました。
さらに、以下のようないくつかの建設関連の投資案件やスキームも観察されました。
家やマンションを売却する前に、まず利益を得るための最適なスキームについて助言を求めるユーザー(「共同投資スキームが良さそうだと分かったけど、他に選択肢はある?」など)
ロシアでの建設プロジェクトへの投資案件 (投資額:50 万ドル以上、年間 ROI (投資収益率):20%、期間:2〜5 年)
マンション複合施設プロジェクトへの投資案件 (投資額:50 万ドル、ROI:2 年間で 2 倍)この投稿者は銀行からの融資を受けられなかったため、サイバー犯罪フォーラムに頼ることにしたとし、次のように述べています。「資金がどんな活動から来ているか (合法的なもの、グレーなもの、違法なもの) に関係なく、投資を適切に開始して、うまく運営できる」
図 29:「マンション複合施設の建設」のために 50 万ドルの投資を呼びかけるサイバー攻撃者
レストランおよびケータリング
レストラン
レストランに関するいくつかの提案や既存のビジネスが確認されました。その中には、新型コロナパンデミック中にフードデリバリービジネスを立ち上げるという提案も含まれていました。犯罪フォーラムのメンバーであることを考えるとやや皮肉ですが、あるユーザーは「疫病から金を稼ぐことが倫理的に正しいかどうかは、それぞれの内なる倫理の問題だ」と述べていました。
図 30:新型コロナパンデミック中にフードデリバリービジネスを始めることを提案し、仲間たちにビジネスのアドバイスを求めるサイバー攻撃者
また、既存のケータリングやピザデリバリー事業への投資案件も確認されました。このビジネスは年間売上が 500 万ルーブルあり、第 2 店舗を開店するために 30 万~200 万ルーブルの投資を募集していました。
図 31:「完全に合法な」既存のピザデリバリー会社に対して「投資家またはビジネスパートナー」を求めるサイバー攻撃者
アルコール関連ビジネス
別のサイバー攻撃者は、他者のアルコールビジネスの買収に関心を示していました。価格を提示し、アルコール関連ビジネスのライセンスおよび関連書類を保有していることに言及した上で、他のユーザーに買収に関するアドバイスを求めていました。
図 32:アルコールビジネスを買収する際の潜在的な「落とし穴」について、仲間たちに意見を求めるサイバー攻撃者
別のスレッドでは、あるユーザーが「ウイスキー樽に投資し、それを後に転売して利益を得る」という提案をしていました。
アイスクリームビジネスを巡る戦い
意外なことですが、アイスクリームビジネスを始めたいと考えるサイバー攻撃者も確認されました。その人物は、20 万ルーブルで屋台を開くことが現実的かどうかを他のユーザーに尋ねていました。
図 33:アイスクリーム屋台を開くことを提案するサイバー攻撃者
同じスレッドでは、別のユーザー (自称「アイスクリームビジネスの達人」) は、2000年代初頭に競合の小さなアイスクリーム点に放火したことを告白しています (「犯罪の時効がすでに過ぎた」ためだと述べています)。この人物は、どのように放火したか以下のように詳細に語っています。「バール、ガソリン入りのペットボトル、延長コードに巻いた芯、マッチ…アイスクリーム点の屋根に縦に突き出た中空のパイプを見つけて、そこにボトルの中身のガソリンを全部注ぎ込み、ガソリンに浸した芯を詰めて火をつけた…10時頃に店主がクレーン車とともに現れた。設備をトラックに積み込んでいたが、その店は二度と見なかった。」
教育
コーディングスクール
「長い間ログの分析によって資本を貯めてきた」 (つまり情報窃取ツールで利益を上げてきた) というサイバー攻撃者は、16 歳向けの「Web 開発に特化したプログラマースクール」を開くアイデアを持っていました。このユーザーは、競合がほとんどおらず、「人口 100 万人以上の地域であるのに対面式のスクールは存在しない」と指摘し、学生には授業の 1 コマあたり 400 ルーブルの料金を設定することを提案しています。
図 34:「長期間ログの分析によって得た資本」を使い、「16 歳以上の学生」を対象とした「プログラマースクール」を開設することを提案するサイバー攻撃者
オンラインコース
あるユーザーは、動画コースや情報商材、ウェビナー、セミナー、コーチング、トレーニングなどを販売する方法についてアドバイスを求めており、投資額は「1,000 ルーブル以下」と記載しています。これはおそらく、トラフィック生成アクティビティの一環 (この連載の第 3 部を参照) に関連している可能性があります。
タバコとベイピング
タバコ製品
あるサイバー攻撃者はタバコ製品の販売に関心を示していました。犯罪フォーラムのユーザーたちは、ウクライナやベラルーシの業者が市場を独占していることを指摘し、ベイプを勧めています (「中国のサプライヤーから購入すると 45〜100 ルーブルくらいだと述べています」)。別のユーザーは、偽造タバコの業者を知っているが、配送できるのはロシア国内のみだと述べています。
電子タバコリキッドと議論
あるサイバー攻撃者は、ここ 2 年ほど学校の生徒に電子タバコのリキッドを販売し、月に 100〜200 ユーロの収益を上げていると述べていました。ここは犯罪フォーラムですが、このコメントに対し別のユーザーが激怒して次のように述べていました。「これを読んでいるけど、親として言うがお前らは子どもがいないのか?」
これを受けて両者は、「店でも酒やタバコは売られているだろ、お前はママ友フォーラムにでも行けよ」、「住所を教えろよ。お前がどこにいても、今すぐ行ってやるよ」、「他人の子どもなんて知ったことではない」などと口論を始めました。
別のサイバー攻撃者は冷笑しながら次のように書いています。「100 年も前からあるビジネスで、月に 200 ユーロ稼げるとか、笑えるよな」
図 35:あるサイバー攻撃者が、学校の生徒に電子タバコのリキッドを売るスキームを説明し、それが口論を引き起こした
債権の売買
別のサイバー攻撃者は、破産した企業の競売に関わり、土地区画、住宅、機械、設備を購入していました。
図 36:破産した企業の競売に関わることを決め、仲間たちに「競売情報をまとめたサイトのリンクや、役立つ動画を持っている人がいれば教えてほしい」と呼びかけているサイバー攻撃者
別のユーザーは債権の売買について議論を始め、「ロシアの商業銀行であるチンコフ銀行は、合同会社を設立する際に債権を資本金として受け入れている」と述べています。
映画
「適正な条件で正当な投資収益率 (ROI) が期待できる」という現金を映画に投資する提案がありました。
図 37:映画への投資を求めるサイバー攻撃者
慈善団体と NGO
合同会社の設立
あるユーザーが、合同会社を安全に設立するための対策を求めていました。次のようなスキームが提案されていました。
- 亡くなった人や高齢者の情報を使って口座を開設する
- ニューメキシコ州で別名義の教会を登録する
- 合同会社をその教会名義で設立する
- 銀行口座に毎週入金する
- 「業務」を実施する
- 「スロットアプリ」を使って利益を洗浄するか、教会への献金として自分宛に送金する
他のユーザーからは、ニューメキシコ州の適切な機関に合同会社の設立登記を提出すること、教会の合同会社設立方法を調べること、501(c)(3) の税制優遇資格を申請することなど具体的なアドバイスがありました。また、「法律を遵守すること」が推奨されていました。
図 38:ニューメキシコ州で教会名義の合同会社を設立する際の対策について助言を求めるサイバー攻撃者。なお、合同会社の設立自体はもちろん違法ではありませんが、ここで提案されているスキームは明確に犯罪目的(「資金洗浄」を狙っているとされている点) であると考えられます。
図 39:同じスレッドで、別のユーザーが提案されたスキームについて具体的な技術的フィードバックを提供していた
「大口の匿名寄付」
あるユーザー (おそらく資金洗浄者) が、「大口の匿名寄付を受け入れられる非営利団体、慈善団体、NGO を設立したい。取引先との現金ビジネスが限界に達しているため」と問い合わせをしました。それに対する回答には、「米国の団体に絞るべきだ。もしカリフォルニアに住んでいて、ギニアビサウの非営利団体から小切手を受け取るなら、それは非常に大きなレッドフラッグだ。自分の名前やオフィスが登記簿に一切関わらなくても、LLCやSコープ、さらには 501(c)(3) の非営利団体を簡単に設立できる。数百の法律事務所が喜んで手助けしてくれる」という助言がありました。
さらに、プライバシー保護、他のレッドフラッグ、非営利団体の役員報酬、寄付の上限、広報活動に関する具体的な助言もありました。
図 40:資金洗浄目的の非営利団体設立に関する技術的な助言を提供するユーザー
その他のスキーム
また、既存のビジネスや投資提案、スタートアップ企業設立のアイデアとして、多種多様な書き込みが見られました。その一例を紹介します。
- タクシーサービス
- 出会い系サイト
- マイクログリーンの栽培
- モトクロス
- フードトラック
- Steam、TikTok、Fiverr を使った資金洗浄
- 高級時計の販売
- 美容サロン
- タトゥー店
- マスクや消毒液の転売 (新型コロナパンデミック時)
- 備蓄品/サバイバル商品の店舗
- 配管工や工事業者向けの SEO 対策
- はちみつの卸売および小売
- ガゼボ (東屋) や家具の製造
- ドライブスルーのコーヒーショップ
- フォトブース
- 住宅の断熱性能検査
- スリングショット射撃場
- インテリアデザイン
- 空中写真撮影
- ランドリーサービス
- ペットショップ向けのコオロギの飼育
- 靴の転売
- エスクローサービス
- カジノ
- モスクワのアラビア料理店
- 奇妙ですが、eBay や Amazon でのソ連時代の防毒マスク販売
図 41:資金洗浄のためのビジネスのアイデアについて議論に参加する複数のユーザー
図 42:新型コロナパンデミックの最盛期に保護用マスクや消毒液を転売することを提案していたサイバー攻撃者
図 43:スリングショット射撃場、インテリアデザイン、ドローン (空中写真撮影)、合金ホイールの洗浄・塗装、ペットショップ向けのコオロギの飼育など、複数の正規のビジネスプランを描いているサイバー攻撃者
また、ユーザーグループで資金を出し合って、e コマースなどの「ホワイトビジネス」を立ち上げたり、既存のビジネスを買収したりするべきだという提案も見られました。
まとめになりますが、サイバー攻撃者たちは犯罪フォーラム上でさまざまな正規のビジネスを議論し、投資し、運営しています。これは全般的に憂慮すべき事態であり、とくにセキュリティ業界にとっては大きな問題です。例えば、サイバーセキュリティ企業の株を保有したり、ホスティングやプロキシサービスを運営したりするサイバー攻撃者は、信頼性やプライバシーの低下、サイバー犯罪の追跡・解体の妨げになる恐れがあります。
しかし、この連載の後半で説明しているように、こうした課題は同時に犯罪を撲滅する機会にもなります。多くの議論の中で、サイバー攻撃者は自身に関する情報 (特定可能な個人情報や所在地、調査に役立つその他の情報) を何らかの形で明かしているケースがあります。
その前に、この連載の第 3 部では、調査中に発見した疑わしいビジネスの実態について探っていきます。
