« CSA ゼロトラスト指針原則 (2023.07.18) | Main | サイバー攻撃を受けた時、国は誰にエスカレーションする? NATO CCDCOE エスカレーション・ロードマップ 分析ペーパー »

2023.07.26

Europol インターネット組織犯罪評価(IOCTA)2023 (2023.07.19)

こんにちは、丸山満彦です。

Europolが、インターネット組織犯罪評価(IOCTA)2023という報告書を公表しています。

「過去2年間のサイバー犯罪についての振り返りです。。。

この後、この報告書のトピックごとのより詳細な報告書となる「サイバー攻撃:サービスとしての犯罪の頂点(IOCTA 2023)」、「オンライン詐欺に関するスポットライト・レポート(IOCTA 2023)」、「児童の性的搾取に関するスポットライト・レポート(IOCTA 2023)」と3つの報告書も公表されるようですね。。。


Europol

・2023.07.19 Internet Organised Crime Assessment (IOCTA) 2023

Internet Organised Crime Assessment (IOCTA) 2023 インターネット組織犯罪評価(IOCTA)2023
Cybercrime, in its various forms, represents an increasing threat to the EU. Cyber-attacks, online child sexual exploitation, and online frauds are highly complex crimes and manifest in diverse typologies. Meanwhile the perpetrators behind these crimes are becoming increasingly agile, exploiting new situations created by geopolitical and technological changes.  サイバー犯罪は、さまざまな形で、EUにとって増大する脅威の代表者となっている。サイバー攻撃、オンラインでの児童の性的搾取、オンライン詐欺は、非常に複雑な犯罪であり、多様な類型で現れている。一方、これらの犯罪の背後にいる加害者は、地政学的・技術的変化によって生まれた新たな状況を利用し、ますます機敏になっている。 
The Internet Organised Crime Assessment (IOCTA) is Europol’s assessment of the cybercrime landscape and how it has changed over the last 24 months.  インターネット組織犯罪アセスメント(IOCTA)は、欧州刑事警察機構によるサイバー犯罪の状況の評価であり、過去24ヶ月間にどのように変化したかを示すものである。 
Accompanying this report will be a series of spotlight reports released later this year, each of which examines a specific crime area relating to cybercrime. この報告書に付随して、今年後半に発表される一連のスポットライト・レポートは、それぞれサイバー犯罪に関連する特定の犯罪分野を検証するものである。

 

・[PDF]

20230726-63416

 


 

今年の後半?に発行されるのは...

 

Cyber-attacks: the apex of crime-as-a-service (IOCTA 2023)

Cyber-attacks: the apex of crime-as-a-service (IOCTA 2023) サイバー攻撃:サービスとしての犯罪の頂点(IOCTA 2023)
Following the publication of the IOCTA 2023, Europol will release a series of spotlight reports that take a closer look at emerging trends in a specific area of cybercrime. The first module, ‘Cyber-attacks: the apex of crime-as-a-service’, examines the developments in cyber-attacks, discussing new methodologies and threats as observed by Europol’s operational analysts. It also outlines the types of criminal structures that are behind cyber-attacks, and how these increasingly professionalised groups are exploiting changes in geopolitics as part of their methodologies. 欧州刑事警察機構は、IOCTA2023の発行に続き、サイバー犯罪の特定分野における新たな傾向を詳しく取り上げた一連のスポットライト・レポートを発表する。最初のモジュールである「サイバー攻撃:サービスとしての犯罪の頂点」は、欧州刑事警察機構のオペレーション・アナリストが観察した新たな手法や脅威を取り上げながら、サイバー攻撃の進展について考察している。また、サイバー攻撃の背後にある犯罪構造の種類や、専門化が進むこれらのグループがその手法の一部として地政学の変化をどのように利用しているかについても概説している。

cyber.jpg

 


 

 

Spotlight report on online fraud (IOCTA 2023)

Spotlight report on online fraud (IOCTA 2023) オンライン詐欺に関するスポットライト・レポート(IOCTA 2023)
Following the publication of the IOCTA 2023, Europol will release a series of spotlight reports that take a closer look at emerging trends in a specific area of cybercrime.  欧州刑事警察機構は、IOCTA2023の発行に続き、サイバー犯罪の特定分野における新たな傾向を詳しく取り上げた一連のスポットライト・レポートを発表する。 
This spotlight report assesses developments in online frauds and the criminal networks that operate them. It includes operational highlights that evidence how law enforcement responds to the threat, and highlights some of the new modi operandi that Europol analysts and EU Member State police forces have uncovered in the last 24 months. 今回のスポットライト・レポートでは、オンライン詐欺とそれを運営する犯罪ネットワークの動向を評価する。また、欧州刑事警察機構(Europol)のアナリストとEU加盟国の警察当局が過去24カ月間に発見した新たな手口を紹介する。

 

Artboard 2.png

 


 

Spotlight report on child sexual exploitation (IOCTA 2023)

Spotlight report on child sexual exploitation (IOCTA 2023) 児童の性的搾取に関するスポットライト・レポート(IOCTA 2023)
Following the publication of the IOCTA 2023, Europol will release a series of spotlight reports that take a closer look at emerging trends in a specific area of cybercrime.  欧州刑事警察機構は、IOCTA 2023の発行に続き、サイバー犯罪の特定分野における新たな傾向を詳しく取り上げた一連のスポットライト・レポートを発表する。 
This spotlight report assesses the threat of online child abuse and child sexual exploitation. As a growing and persistent global problem, this crime area is a priority for police forces both inside and outside Europe. This module of the IOCTA 2023 explains how criminals are operating in this crime area, and what trends have emerged over the last 24 months.   今回のスポットライト・レポートでは、オンライン児童虐待と児童の性的搾取の脅威を評価する。世界的に拡大し、根強く残る問題として、この犯罪分野は欧州内外の警察にとって優先事項となっている。IOCTA 2023のこのモジュールでは、この犯罪分野で犯罪者がどのように活動しているのか、また過去24カ月間にどのような傾向が現れたのかを説明している。 

 

Artboard 1.png

 

 

 

 

IOCTA; Internet organised crime threat assess ment 2023 IOCTA; 2023年インターネット組織犯罪脅威評価
Key terms  主な用語 
Account takeover (ATO): the act of illegally accessing a victim’s online account.  アカウント乗っ取り(ATO):被害者のオンラインアカウントに不正にアクセスする行為。
Affiliates: cybercriminals who carry out ransomware attacks using ransomware-as-a-service platforms (affiliate programs) that are ran by criminal groups. Affiliates are able to use the tools on the platform in exchange of a percentage of their criminal proceeds earned through it.  アフィリエイト:犯罪グループが運営するランサムウェア・アズ・ア・サービス・プラットフォーム(アフィリエイト・プログラム)を利用してランサムウェア攻撃を行うサイバー犯罪者。アフィリエイトは、プラットフォームを通じて得た犯罪収益の一定割合と引き換えに、プラットフォーム上のツールを使用することができる。
Botnet: a network of computers or Internet-connected devices that are infected with malware granting someone illegal control over them.  ボットネット:マルウェアに感染したコンピュータやインターネットに接続されたデバイスのネットワーク。
Bulletproof hosting: a service offered by some sites or web hosting firms that allows their customers considerable leniency on the content they can upload. Such hosting providers tend not to respond to lawful requests for information.  防弾ホスティング:一部のサイトやウェブホスティング会社が提供するサービスで、顧客がアップロードできるコンテンツにかなりの寛大さを与えている。このようなプロバイダは、合法的な情報要求に応じない傾向がある。
Crypters: software that obfuscates and encrypts malicious payloads, making them less detectable by traditional anti-virus programs.  クリプター:悪意のあるペイロードを難読化・暗号化し、従来のアンチウイルス・プログラムでは検出しにくくするソフトウェア。
Droppers: programs designed to deliver malicious software to a device. They usually do not have malicious functions themselves and are designed to evade and de-activate the system’s security features (e.g. anti-virus, endpoint detection) before installing malware and other malicious tools (i.e. payloads).  ドロッパー:悪意のあるソフトウェアをデバイスに配信するように設計されたプログラム。ドロッパーは通常、それ自体に悪意のある機能を持たず、マルウェアやその他の悪意のあるツール(つまりペイロード)をインストールする前に、システムのセキュリティ機能(アンチウイルスやエンドポイント検知など)を回避し、無効化するように設計されている。
Decentralised finance (DeFi): technologies that do not rely on third parties to facilitate the exchange, loan and payment of cryptocurrency.  分散型金融(DeFi):暗号通貨の交換、融資、支払いを促進するためにサードパーティに依存しない技術。
End-to-end-encryption (E2EE): a method to secure communication that prevents third parties from accessing data while it is transferred from one end system or device to another. The data is encrypted on the sender’s system/device and only the intended recipient can decrypt it.  エンド・ツー・エンド暗号化(E2EE):あるエンドシステムまたはデバイスから別のエンドシステムまたはデバイスへのデータ転送中に第三者がデータにアクセスできないようにするセキュアなコミュニケーション手法。データは送信者のシステム/デバイス上で暗号化され、意図した取得者のみが復号化できる。
Pig butchering: a combination of romance scam and investment fraud. With this modus operandi criminals build a trust relationship with the victim and convince them to invest savings in fraudulent cryptocurrency trading platforms. The scam is perpetrated over time, resulting in the loss of large amounts of money.  ピッグブッチャー:ロマンス詐欺と投資詐欺を組み合わせたもの。この手口で犯罪者は被害者と信頼関係を築き、詐欺的な暗号通貨取引プラットフォームに貯蓄を投資するよう説得する。この詐欺は長期にわたって行われ、結果として多額の金銭を失うことになる。
Phishing: the act of deceiving a person in order to steal their money or personal information. Phishing is most commonly done through fraudulent emails or websites.  フィッシング:金銭や個人情報を盗むために人を欺く行為。フィッシングは、詐欺的なEメールやウェブサイトを通じて行われるのが一般的である。
Smishing: a form of phishing using text messages or common messaging apps. Vishing: a form of phishing using voice calls and voicemails.  スミッシング:テキストメッセージや一般的なメッセージングアプリを使ったフィッシングの一種。ビッシング:音声通話やボイスメールを使ったフィッシングの一種。
Spoofing: disguising a communication from an unknown source as being from a known, trusted source. Spoofing can apply to email senders, phone numbers, websites, and IP addresses.  スプーフィング:未知の送信元からのコミュニケーションを、信頼できる既知の送信元からのものであるかのように偽装すること。なりすましは、電子メールの送信者、電話番号、ウェブサイト、IPアドレスに適用できる。
Introduction  序文 
Cybercrime, in its various forms, represents an increasing threat to the EU. Cyber-attacks, online child sexual exploitation, and online frauds, are highly complex crimes and manifest in diverse typologies. Offenders continue showing high levels of adaptability to new technologies and societal developments, while constantly enhancing cooperation and specialisation. Cybercrimes have a broad reach and inflict severe harm on individuals, public and private organisations, and the EU’s economy and security.  サイバー犯罪は、その様々な形態で、EUにとって増大する脅威の代表者となっている。サイバー攻撃、オンラインでの児童の性的搾取、オンライン詐欺は、非常に複雑な犯罪であり、多様な類型で現れている。犯罪者は新しい技術や社会の発展に高い適応力を示し続け、一方で絶えず協力と専門化を強めている。サイバー犯罪は広範囲に及び、個人、公共・民間組織、EUの経済と安全保障に深刻な被害を与えている。
The year 2022 shifted the world’s attention from the COVID-19 pandemic to Russia’s invasion of Ukraine, which among other things put the political divides of the cybercriminal underground under a magnifying glass. Law enforcement action, hacktivism and fallout within criminal groups revealed known truths, confirmed speculations and provided insights about the inner workings of business structures - as well as the threat actors governing them. The instability in the region has resulted in the displacement of some cybercriminals active in the area, creating opportunities for law enforcement to arrest high- ranking threat actors previously outside their reach.  2022年、世界の関心はCOVID-19の大流行からロシアのウクライナ侵攻へと移り、とりわけサイバー犯罪の政治的分裂が拡大鏡の下に置かれた。法執行機関の動き、ハクティビズム、犯罪グループ内の対立は、既知の真実を明らかにし、憶測を裏付け、ビジネス構造の内部構造、さらにはそれを支配する脅威行為者についての洞察を提供した。この地域の不安定さは、この地域で活動する一部のサイバー犯罪者の居場所を奪う結果となり、法執行機関にとって、以前は手が届かなかった高位の脅威行為者を逮捕する機会を生み出した。
The carry-over effects of the geopolitical situation could be seen by the barrage of disruptive cyber- attacks against not only Ukrainian and Russian targets, but also worldwide, especially in the EU. The boost in these malicious activities targeting EU Member States is mostly due to a significant number of Distributed Denial of Service (DDoS) attacks affecting national and regional public institutions. These attacks were often politically motivated and coordinated by pro-Russian hacker groups in response to declarations or actions in support to Ukraine.  地政学的状況の影響は、ウクライナやロシアの標的だけでなく、世界中、特にEUを標的とした破壊的なサイバー攻撃の乱発にも表れている。EU加盟国を標的にしたこのような悪質な活動の増加は、国や地域の公共機構に影響を与えた相当数の分散型サービス拒否(DDoS)攻撃によるところが大きい。これらの攻撃は、ウクライナ支援の宣言や行動に呼応して、親ロシア派のハッカー集団によって政治的な動機で調整されたものであることが多い。
The invasion of Ukraine also showed once again cybercriminals’ adaptability and opportunism. Online fraudsters responded swiftly to the circumstances and exploited the crisis by developing a variety of narratives related to it. They targeted victims across the EU under the guise of supporting Ukraine or Ukrainians. Fake webpages were created to solicit money, using URLs that included misleading key words. Emails pretending to raise funds for the humanitarian effort were sent from fraudulent addresses. In some cases, fraudsters impersonated celebrities that led or supported real campaigns or spoofed the humanitarian organisations’ domains, inviting victims to donate in cryptocurrencies1.  ウクライナ侵攻はまた、サイバー犯罪者の適応力と日和見主義を改めて示した。オンライン詐欺師はこの状況に迅速に対応し、危機に関連するさまざまなシナリオを展開することで危機を悪用した。彼らは、ウクライナやウクライナ人を支援するという名目で、EU全域の被害者をターゲットにした。誤解を招くようなキーワードを含むURLを使い、偽のウェブページを作成して資金を募った。人道支援活動のための資金調達を装ったEメールは、詐欺的なアドレスから送信された。詐欺師が、実際のキャンペーンを主導したり支援したりする有名人になりすましたり、人道支援団体のドメインになりすましたりして、被害者に暗号通貨での寄付を呼びかけるケースもあった1。
The threat of online child sexual exploitation, while not affected by these geopolitical developments, has been further increasing in terms of quantity and severity. Offenders of all crime areas continue to take advantage of legal and criminal privacy services to mask their actions and identities as their knowledge of countermeasures increases.  オンラインでの児童の性的搾取の脅威は、こうした地政学的な動きには影響されないものの、その量と深刻さの点でさらに増大している。あらゆる犯罪分野の犯罪者は、対策に関する知識が増えるにつれ、自らの行動や身元を隠すために、法律や犯罪プライバシー・サービスを利用し続けている。
This IOCTA report is accompanied by three spotlight reports discussing recent developments in the main cybercrime typologies. Visit the Europol website to download or sign up for a publication notification.  このIOCTA報告書には、主なサイバー犯罪の類型における最近の進展について論じた3つのスポットライト・レポートが添付されている。欧州刑事警察機構(Europol)のウェブサイトからダウンロードすることができる。
1 Bleeping Computer, 2022, ‘Help Ukraine’ crypto scams emerge as Ukraine raises over $37 million, accessible at: https:// www.bleepingcomputer.com/news/security/help-ukraine-crypto-scams-emerge-as-ukraine-raises-over-37-million/  1 Bleeping Computer, 2022, 'Help Ukraine' crypto scams emerge as Ukraine raises over $37 million, accessible at: https:// www.bleepingcomputer.com/news/security/help-ukraine-crypto-scams-emerge-as-ukraine-raises-over-37-million/ 
Cybercriminal services are intertwined and their efficacy is co-dependant  サイバー犯罪サービスは絡み合っており、その効力は共依存的である。
Cyber-attacks are challenging to investigate as they consist of multiple steps from initial intrusion, via lateral movement and privilege escalation, to data exfiltration and exploitation, with multiple actors working on parts of the criminal process, and an important crime-as-a-service dimension.  サイバー攻撃は、最初の侵入から、横の動きや特権の昇格を経て、データの流出や搾取に至るまで、複数のステップから構成されており、犯罪プロセスの一部に複数のアクターが関与しているため、捜査は困難である。
Cybercrime services are widely available and have a well-established online presence, with a high level of specialisation inside criminal networks and collaboration between illicit providers. The services offered to perpetrate cybercrime are often intertwined and their efficacy is to a degree co-dependant. The illicit service providers cater to a large number of criminal actors by offering monitoring, delivery and obfuscation services. Such services are often offered for sale or advertised on dark web forums and marketplaces.  サイバー犯罪サービスは広く利用可能であり、オンライン上で確立された存在感を示しており、犯罪ネットワーク内部では高度に専門化され、不正プロバイダ同士が連携している。サイバー犯罪を実行するために提供されるサービスは、しばしば相互に絡み合っており、その有効性はある程度依存している。不正サービスプロバイダは、監視、配信、難読化サービスを提供することで、多数の犯罪行為者に対応している。このようなサービスは、しばしばダークウェブのフォーラムやマーケットプレイスで売りに出されたり、広告されたりする。
For example, initial access brokers (IABs) and dropper-services cater to a variety of cybercriminals and are pivotal for ransomware attacks and online fraud schemes. Malware developers and fraudsters both need channels to reach a large numbers of victims. In this context, dropper and phishing services are widely used to monitor victims and deliver malicious payloads needed to access the targeted networks. These services work with botnets to meet the demand for distribution volume.  例えば、イニシャル・アクセス・ブローカー(IAB)やドロッパー・サービスは、様々なサイバー犯罪者に対応しており、ランサムウェア攻撃やオンライン詐欺スキームにとって極めて重要である。マルウェア開発者も詐欺師も、多数の被害者にリーチするチャネルを必要としている。このような背景から、被害者を監視し、標的のネットワークにアクセスするために必要な悪意のあるペイロードを配信するために、ドロッパーサービスやフィッシングサービスが広く利用されている。これらのサービスはボットネットと連携し、配信量の需要に応えている。
The success rate of these operations is also dependant on the sophistication of obfuscation methods to conceal their malicious intent. Criminal groups running delivery services have a close working relationship with crypter developers. This software obfuscates the malicious payloads by encrypting them, making them less detectable by antivirus (AV) programs.  これらの作戦の成功率は、悪意のある意図を隠すための難読化手法の巧拙にも左右される。配信サービスを運営する犯罪グループは、クリプター開発者と緊密な協力関係にある。このソフトウェアは、悪意のあるペイロードを暗号化することで難読化し、アンチウイルス(AV)プログラムによる検知をしにくくする。
Counter antivirus (CAV) services are also very popular among cybercriminals for ensuring their criminal activities remain undetected. Malware developers and criminals providing crypter services use CAV services to scan their code against AV solutions in order to identify which parts of it are detected as being malicious. They then use this information to obfuscate the code so AV programs and firewalls do not recognise it. Some mature malware groups even hire their own pentesters to make sure that their malware will bypass antivirus software.  アンチウイルス(CAV)対策サービスもまた、サイバー犯罪者の間で、犯罪行為が検知されないようにするために非常に人気がある。マルウェア開発者や暗号化サービスを提供する犯罪者は、CAVサービスを利用して、自分たちのコードをAVソリューションに対してスキャンし、どの部分が悪意があると検知されたかを特定する。そして、この情報を使ってコードを難読化し、AVプログラムやファイアウォールに認識されないようにする。成熟したマルウェア・グループの中には、自分たちのマルウェアがアンチウイルス・ソフトウェアをバイパスすることを確認するために、自分たちでペンテスターを雇うところもある。
Virtual Private Networks (VPNs) are the most common services cybercriminals use to shield communication and Internet browsing by masking identities, locations and the infrastructure of their operations. They cater to malware operators, fraudsters, child sexual exploitation (CSE) offenders and any other cybercriminal who is in need of masking their illicit activities online. VPN providers host a number of proxies, which users can route their traffic through in order to conceal their actual location (IP) and content of their traffic. While VPN services are not illegal, some of them are designed for and advertised to criminals. Full anonymity offered by end-to-end encryption (E2EE) and a lack of cooperation with lawful requests for information from law enforcement are characteristic of these VPN services. Criminal VPN providers are aware of the needs of criminals and actively advertise their services on criminal markets.  バーチャル・プライベート・ネットワーク(VPN)は、サイバー犯罪者が、身元、場所、オペレーションのインフラをマスキングすることで、コミュニケーションやインターネット・ブラウジングを保護するために使用する最も一般的なサービスである。VPNは、マルウェア運営者、詐欺師、児童性的搾取(CSE)犯罪者、その他オンライン上で不正な活動を隠蔽する必要のあるあらゆるサイバー犯罪者に利用されている。VPNプロバイダは多くのプロキシをホストしており、ユーザーは実際の場所(IP)やトラフィックの内容を隠すために、トラフィックをルーティングすることができる。VPNサービスは違法ではないが、中には犯罪者向けに設計され、犯罪者向けに宣伝されているものもある。エンドツーエンドの暗号化(E2EE)によって提供される完全な匿名性と、法執行機関からの合法的な情報要求に対する協力の欠如が、これらのVPNサービスの特徴である。犯罪者向けVPNプロバイダは犯罪者のニーズを認識しており、犯罪者向けマーケットで積極的にサービスを宣伝している。
All of these providers require infrastructure that offer them resilience to disruption and concealment from law enforcement. Many Internet Service Providers (ISPs) frequently used by criminals do not engage in extensive customer monitoring practices such as Know-Your-Customer (KYC) procedures and storing of customer and metadata (e.g. IP address), facilitating criminal activities. Some of them do not provide customer information upon lawful requests except for an automated confirmation of an email address, leading to a limited availability of identifying information on a suspect. Additionally, hosting is a complex international business area where servers are often resold to other datacentres located in different regions. This type of hosting is referred to as bulletproof hosting, which has been notoriously difficult for law enforcement authorities to address for many years.  これらのプロバイダはいずれも、法執行機関からの妨害や隠蔽に対するレジリエンスを提供するインフラを必要としている。犯罪者が頻繁に利用するインターネット・サービス・プロバイダ(ISP)の多くは、Know-Your-Customer(KYC)手続きや顧客とメタデータ(IPアドレスなど)の保存など、広範な顧客監視慣行に取り組んでおらず、犯罪行為を助長している。中には、電子メールアドレスの自動確認を除き、合法的な要求があっても顧客情報を提供しないところもあり、容疑者の識別情報の利用可能性が限られている。さらに、ホスティングは複雑な国際的ビジネス分野であり、サーバーはしばしば異なる地域にある他のデータセンターに転売される。この種のホスティングは防弾ホスティングと呼ばれ、法執行当局が対処するのが長年困難であったことで知られている。
VPNLab takedown – OPERATION OVERLORD2  VPNLabの摘発 - OPERATION OVERLORD2 
VPNLab, one of the most prolific services used by cybercriminals, was taken down in a law enforcement action in January 2022. The action day followed coordinated investigative efforts from Canada, Czechia, France, Germany, Hungary, Latvia, the Netherlands, Ukraine, the United Kingdom and the United States, with the support of Europol and Eurojust. Europol provided analytical and forensic support, facilitated information exchange and coordinated more than 60 operational meetings.  VPNLabは、サイバー犯罪者に最も多く利用されているサービスの1つであるが、2022年1月に法執行機関により削除された。欧州刑事警察機構(Europol)と欧州司法機構(Eurojust)の支援の下、カナダ、チェコ、フランス、ドイツ、ハンガリー、ラトビア、オランダ、ウクライナ、英国、米国による協調的な捜査活動が行われた。欧州刑事警察機構は、分析と法医学的支援を提供し、情報交換を促進し、60以上の作戦会議を調整した。
Like most VPNs, this service shielded communications and Internet browsing. VPNLab was used in support of serious criminal acts, such as setting up of infrastructure and communication behind ransomware operations and malware distribution. The service, active since 2008, was advertised on the dark web for as little as USD 60 per year and did not cooperate with lawful requests from law enforcement authorities.  ほとんどのVPNと同様、このサービスはコミュニケーションとインターネット閲覧を保護する。VPNLabは、ランサムウェア作戦やマルウェア配布の背後にあるインフラやコミュニケーションの構築など、重大な犯罪行為の支援に利用された。2008年から活動しているこのサービスは、ダークウェブで年間60米ドルという低価格で宣伝され、法執行当局からの合法的な要請にも協力しなかった。
Various servers of VPNLab were located in the EU, and some in third countries. The investigative measures taken against VPNLab have demonstrated how the take down of one service can help further numerous other investigations. For example, many users of VPNLab used the service to connect to domains of companies who were compromised by a ransomware group.  VPNLabの様々なサーバーはEUにあり、一部は第三国にあった。VPNLabに対して取られた捜査措置は、1つのサービスを停止させることが、他の多数の捜査にいかに役立つかを示した。例えば、VPNLabの多くのユーザーは、ランサムウェアグループによって侵害された企業のドメインに接続するためにVPNLabのサービスを利用していた。
2 Europol, 2022, Unhappy New Year for cybercriminals as VPNLab.net goes offline, accessible at https://www.europol. europa.eu/media-press/newsroom/news/unhappy-new-year-for-cybercriminals-vpnlabnet-goes-offline 2 欧州刑事警察機構、2022年、サイバー犯罪者にとって不幸な新年、VPNLab.netがオフラインに、https://www.europol. europa.eu/media-press/newsroom/news/unhappy-new-year-for-cybercriminals-vpnlabnet-goes-offline からアクセス可能。
Similar techniques for different goals  異なる目的に対する類似のテクニック 
The defence against different forms of cybercrime is as strong as the weakest link, which continues to be human oversight. Phishing emails, malicious document files, social engineering techniques and unpatched soft- and hardware are the most common ways criminals introduce themselves into their victims’ systems.  さまざまな形態のサイバー犯罪に対する防御は、最も弱いリンクほど強力であり、それは依然として人間の見落としである。フィッシング・メール、悪意のある文書ファイル、ソーシャル・エンジニアリング、パッチが適用されていないソフトウェアやハードウェアは、犯罪者が被害者のシステムに侵入する最も一般的な方法である。
Social engineering, and in particular phishing, are extensively used by all types of cybercriminals. This technique uses deception to manipulate individuals into divulging confidential or personal information that may be used for fraudulent purposes3. Social engineering has increased in both volume and sophistication, while at the same time EU regulatory developments4 have made frauds with compromised payment cards more difficult, resultantly shifting the criminal focus onto users rather than digital systems. Phishing is a key access vector for most types of online fraud schemes and malware-based attacks, aiming to intrude into systems, steal data or extort money. Phishing emails containing malware, Remote Desktop Protocol (RDP) brute forcing and VPN vulnerability exploitation are the most common intrusion tactics used by cybercriminals. Legitimate software and tools built into operating systems are then misused to establish persistence and traverse their victims’ networks. The increased availability of phishing kits allows more criminal networks to be successful in phishing attacks, regardless of their level of organisation and technical expertise. Phishing can also have different manifestations, depending on the mean of communication exploited. Common alternative manifestations are smishing (SMS phishing) and vishing (voice phishing).  ソーシャル・エンジニアリング、特にフィッシングは、あらゆるタイプのサイバー犯罪者に広く利用されている。この手口は、詐欺に利用される可能性のある機密情報や個人情報を漏らすように個人を操作するために、欺瞞を用いる3。ソーシャル・エンジニアリングは、その量も巧妙さも増しているが、同時にEUの規制の進展4 により、漏洩したペイメント・カードを使った詐欺はより困難になっており、その結果、犯罪者の焦点はデジタル・システムよりもむしろ利用者に移っている。フィッシングは、システムへの侵入、データの窃取、金銭の恐喝を目的とした、ほとんどのタイプのオンライン詐欺スキームやマルウェアベースの攻撃の主要なアクセス・ベクトルである。マルウェアを含むフィッシング・メール、リモート・デスクトップ・プロトコル(RDP)のブルート・フォース、VPNの脆弱性の悪用は、サイバー犯罪者が使用する最も一般的な侵入手口である。その後、正規のソフトウェアやオペレーティング・システムに組み込まれたツールが悪用され、被害者のネットワークに侵入する。フィッシング・キットの利用可能性が高まったことで、組織や技術的専門知識のレベルに関係なく、より多くの犯罪者ネットワークがフィッシング攻撃を成功させることができるようになった。フィッシングはまた、悪用されるコミュニケーション手段によって、さまざまな姿を見せる。一般的な代替手段としては、スミッシング(SMSフィッシング)やビッシング(音声フィッシング)がある。
Impersonation is a technique widely used by criminals involved in child sexual exploitation and online fraud schemes, in order to deceive victims. Child sexual exploitation offenders make extensive use of social media to engage with their victims, interacting with them often behind a false identity. Online fraudsters impersonate legitimate businesses, institutions, non-governmental organisations and individuals to solicit money transfers or obtain access to the victims’ sensitive information. Charity scams are a particularly unscrupulous type of online fraud scheme using impersonation. Profiteering from the generosity of individuals towards those in need, criminal actors take advantage of current emergency situations posing as genuine organisations to obtain donations, victimising both the donor and the legitimate charity. Scams exploiting crises have been increasingly detected in the past years, first in relation to the COVID-19 pandemic, and more recently in the context of the Russian invasion of Ukraine and the earthquake in Türkiye and Syria.  なりすましは、児童の性的搾取やオンライン詐欺に関与する犯罪者が、被害者を欺くために広く用いる手法である。児童の性的搾取を行う犯罪者は、被害者と関わるためにソーシャルメディアを多用し、多くの場合、偽の身分を装って被害者と交流している。オンライン詐欺師は、合法的な企業、機構、非政府組織、個人になりすまして送金を要求したり、被害者の機密情報にアクセスしたりする。チャリティ詐欺は、なりすましを利用したオンライン詐欺の中でも特に悪質な手口である。困窮している人々に対する個人の寛大さを利用して利益を得ようとする犯罪行為者は、寄付を得るために本物の組織を装って現在の緊急事態を利用し、寄付者と合法的な慈善団体の両方を犠牲にする。COVID-19パンデミックに始まり、最近ではロシアのウクライナ侵攻、トルコやシリアの地震など、危機を悪用した詐欺はここ数年、ますます検知されるようになっている。
Spoofing is an example of a very effective technique to gain victims’ trust, allowing fraudsters to make a phone call or to send a text message that show a caller ID different from that of the telephone from which the call is actually placed. Spoofing is often used by fraudsters to appear like a credible person or service to lure victims into giving up sensitive data, such as two-factor authentication (2FA) tokens or PINs. In some cases, ransomware operators use spoofing to call victims to carry out ransom negotiations while concealing their identities. Some criminal networks provide spoofing-as-a-service to other criminals.  なりすましは、被害者の信頼を得るための非常に効果的なテクニックの一例で、詐欺師が電話をかけたり、実際に電話をかけた電話とは異なる発信者IDを示すテキストメッセージを送信したりすることを可能にする。なりすましは、詐欺師が信頼できる人物やサービスに見せかけて被害者を誘い、二要素認証(2FA)トークンや暗証番号などの機密データを提供させるために使われることが多い。また、ランサムウェアの運営者がなりすましを使って被害者に電話をかけ、身元を隠したまま身代金の交渉を行うケースもある。犯罪ネットワークの中には、なりすましをサービスとして他の犯罪者に提供するものもある。
Common intrusion techniques applied to perpetrate cyber-attacks are also used by criminals involved in online fraud schemes in order to access and manipulate payment and digital systems while undetected. Malware is injected into Automated Teller Machines (ATMs) to manipulate their operating system and eject cash. Digital payment systems are also hijacked through malware infections with the goal of stealing customers’ card data in a process called digital skimming.  サイバー攻撃の実行に適用される一般的な侵入技術は、オンライン詐欺スキームに関与する犯罪者が、検知されない間に決済システムやデジタルシステムにアクセスし、操作するためにも使用される。ATM(現金自動預け払い機)にマルウェアを送り込み、オペレーティングシステムを操作して現金を引き出す。デジタル決済システムもマルウェア感染によって乗っ取られ、デジタルスキミングと呼ばれるプロセスで顧客のカードデータを盗むことを目的としている。
These illicitly obtained credentials are often used for carding, usually performed by bots that test the validity of stolen card data and use them to make purchases. Thanks to the bots, criminals are able to make parallel automated operations to attempt purchase authorisation.  不正に入手されたこれらのクレデンシャルは、カード決済に使用されることが多く、通常、ボットによって実行され、盗まれたカードデータの有効性をテストし、購入に使用される。ボットのおかげで、犯罪者は並行して自動操作を行い、購入の承認を試みることができる。
Takedown of the iSpoof platform – OPERATION ELABORATE5  iSpoofプラットフォームのテイクダウン - OPERATION ELABORATE5 
‘iSpoof.cc’ was a website that provided criminals with various services including Automated Interactive Voice Response (IVR), Interception of Telepins and live monitoring of calls. The website could be used to target victims worldwide. The successful takedown of this platform in November 2022 led to the arrest of 142 suspects. The website is believed to have caused an estimated loss in excess of EUR 115 million. Law enforcement authorities from Australia, Canada, France, Germany, Ireland, Lithuania, the Netherlands, Ukraine, the United Kingdom and the United States, with the support of Europol, cooperated in this case. Europol developed intelligence packages to the national investigators, provided a secure platform to exchange large files of evidence and identified additional users of the criminal service who were already known for their involvement in other high-profile cybercrime investigations. After iSpoof was taken down, the UK Metropolitan Police (MET) announced that 10 million spoof calls had been made using the site between June 2021 and July 2022. The MET recreated an introductory video from iSpoof, previously created by the criminal administrators to explain how to use the platform, with an edited voiceover to deter future users of spoofing services and to show users of iSpoof that the police now has access to their data. The MET also texted 70 000 numbers to make them aware that they had been targeted by iSpoof scammers. These pro-active measures show that seized databases and/or wiretapped servers.  「iSpoof.cc」は、自動音声応答(IVR)、テレピンの傍受、通話のライブモニタリングなど、さまざまなサービスを犯罪者に提供するウェブサイトだった。このウェブサイトは、世界中の被害者をターゲットに利用することができた。2022年11月にこのプラットフォームの摘発に成功し、142人の容疑者が逮捕された。このウェブサイトは1億1500万ユーロを超える損失をもたらしたと推定されている。欧州刑事警察機構の支援のもと、オーストラリア、カナダ、フランス、ドイツ、アイルランド、リトアニア、オランダ、ウクライナ、英国、米国の法執行当局がこの事件に協力した。欧州刑事警察機構は、各国の捜査当局に情報パッケージを開発し、大容量の証拠ファイルを交換するための安全なプラットフォームを提供し、他の著名なサイバー犯罪捜査への関与ですでに知られていた犯罪サービスの追加ユーザーを特定した。iSpoofが削除された後、英国警視庁(MET)は、2021年6月から2022年7月の間に、このサイトを使って1000万件のなりすまし電話が行われたと発表した。METは、犯罪管理者が以前作成したiSpoofの紹介ビデオを再現し、プラットフォームの使い方を説明した。将来のなりすましサービス利用者を抑止し、iSpoofの利用者に警察がデータにアクセスできるようになったことを示すために、ナレーションを編集した。また、METは7万件の電話番号にメールを送り、iSpoof詐欺師の標的になっていることを知らせた。これらの積極的な対策は、押収されたデータベースや盗聴されたサーバーの存在を示している。
3 Europol, 2017, Serious and Organised Crime Threat Assessment, accessible at https://www.europol.europa.eu/ socta/2017/  3 欧州刑事警察機構、2017年、重大組織犯罪脅威評価、https://www.europol.europa.eu/ socta/2017/ からアクセスできる。
4 Directive (EU) 2015/2366 (payment service directive 2 – PSD 2) provides the legal foundation for the further development of a better integrated internal market for electronic payments within the European Union (EU). It establishes comprehensive rules for payment services, with the goal of ensuring harmonised rules for the provision of payment services in the EU and a high level of consumer protection. Full Directive available at: https://eur-lex.europa.eu/legal-content/EN/ TXT/?uri=celex%3A32015L2366  4 欧州連合(EU)指令(EU)2015/2366(決済サービス指令2 - PSD 2)は、欧州連合(EU)内の電子決済に関するより統合された域内市場をさらに発展させるための法的基盤を提供するものである。同指令は、EU域内における決済サービス提供のための調和されたルールと高水準の消費者保護を確保することを目的として、決済サービスに関する包括的な規則を制定している。指令全文は https://eur-lex.europa.eu/legal-content/EN/ TXT/?uri=celex%3A32015L2366 から入手できる。
5 Europol, 2022, Action against criminal website that offered ‘spoofing’ services to fraudsters: 142 arrests, accessible at https://www.europol.europa.eu/media-press/newsroom/news/action-against-criminal-website-offered- %E2%80%98spoofing%E2%80%99-services-to-fraudsters-142-arrests 
5 欧州刑事警察機構、2022年、詐欺師に「なりすまし」サービスを提供した犯罪サイトに対する措置: 142人の逮捕者、https://www.europol.europa.eu/media-press/newsroom/news/action-against-criminal-website-offered- %E2%80%98spoofing%E2%80%99-services-to-fraudsters-142-arrestsからアクセス可能。
The central commodity of this illicit economy is stolen data  不正経済の中心商品は盗まれたデータである 
The central commodity of this illicit economy is stolen data, which is bought for and produced by different cyber-attacks. Affiliates of ransomware programs, fraudsters and hackers seek victim information for gaining access to their systems and bank accounts. Criminal markets are booming with stolen credentials and victim data produced by the aforementioned actors through compromising databases and social engineering techniques. Child sexual exploitation offenders groom victims in order to obtain sensitive information that can be then exploited for extortion purposes. Data theft is a core threat as stolen data can be used in a wide array of criminal activities, including commodification, access to systems, espionage, extortion and social engineering.  この不正経済の中心的な商品は盗まれたデータであり、さまざまなサイバー攻撃によって購入され、生産される。ランサムウェア・プログラムのアフィリエイト、詐欺師、ハッカーは、システムや銀行口座にアクセスするために被害者の情報を求めている。犯罪市場は、データベースの侵害やソーシャル・エンジニアリング技術を通じて、前述の行為者によって作成された盗まれた認証情報や被害者データで活況を呈している。児童性的搾取を行う犯罪者は、恐喝目的で悪用できる機密情報を入手するために、被害者を手なずけている。盗まれたデータは、商品化、システムへのアクセス、スパイ活動、恐喝、ソーシャル・エンジニアリングなど、さまざまな犯罪行為に利用できるため、データ盗難は中核的な脅威である。
Crime-as-a-service providers collaborate closely with IABs whose portfolios consist of access information of high-value victims. Unfortunately, cybercriminals do not hold exclusivity in high regard and sell data to whoever is willing to purchase it.  犯罪・アズ・ア・サービスのプロバイダは、価値の高い被害者のアクセス情報をポートフォリオに持つIABと緊密に連携している。残念なことに、サイバー犯罪者は独占権を高く評価しておらず、データを買ってくれる人なら誰にでもデータを売る。
In order to successfully execute their operations, cybercriminals require access to leaked sensitive information of victims, such as (databases of) personal data. Criminal hacking forums often offer this type of information for sale. A notorious example of this phenomenon was RaidForums, taken down in Operation Tourniquet, a coordinated law enforcement action carried out in April 2022.  サイバー犯罪者は、作戦を成功させるために、(個人データの)データベースなど、被害者の漏洩した機密情報にアクセスする必要がある。犯罪的なハッキング・フォーラムでは、しばしばこの種の情報を売りに出している。この現象の悪名高い例として、2022年4月に実施された法執行機関の連携行動「オペレーション・ツルニケット」でダウンさせられたRaidForumsがある。
There has been a change of the type of stolen data that is available on criminal markets. It is no longer only static (e.g. credit card details and login credentials), but is compiled of a number of datapoints retrieved from victims’ malware- infected devices. There is an increase in activity on marketplaces for stolen data and in the demand for IABs6. Listings posted by IABs include advertisement of systems they have access to, sometimes accompanied by company revenue.  犯罪市場で入手できる盗難データの種類にも変化が起きている。もはや静的なデータ(クレジットカードの詳細やログイン情報など)だけでなく、マルウェアに感染した被害者のデバイスから取得された数多くのデータポイントで構成されている。盗まれたデータのマーケットプレイスでの活動や、IABの需要が増加している6。IABが掲載するリスティングには、アクセスできるシステムの広告が含まれ、時には企業の収益が伴うこともある。
The services of IABs are more catered towards high-end cybercriminals, who want access to high- value victims. This is in contrast to platforms such as Raidforums, which offer less targeted ‘wholesale access’ of stolen data that is more relevant for less technically skilled cybercriminals. Some IABs are active on the clear and dark web. IABs have a variety of stolen victim data on offer (e.g. login credentials, browser cookies, mobile device identifiers, email addresses, user names, and passwords).  IABのサービスは、価値の高い被害者へのアクセスを求めるハイエンドのサイバー犯罪者向けである。これは、Raidforumsのようなプラットフォームとは対照的である。Raidforumsは、あまり技術的スキルの高くないサイバー犯罪者により適した、窃取データの「ホールセール・アクセス」を提供している。一部のIABは、クリアウェブやダークウェブで活動している。IABは、窃取した様々な被害者データ(ログイン認証情報、ブラウザクッキー、モバイルデバイス識別情報、電子メールアドレス、ユーザー名、パスワードなど)を提供している。
In order to counter unauthorised access to personal accounts, fingerprinting technologies have been developed.  個人アカウントへの不正アクセスに対抗するため、フィンガープリンティング技術が開発されている。
RaidForums shutdown – OPERATION TOURNIQUET7  RaidForumsの閉鎖 - OPERATION TOURNIQUET7 
RaidForums started its operations in 2015 and grew to be one of the world’s biggest hacking forums with a community of over half a million users. It focused on the harvesting and re-selling of ‘exclusive’ personal data and databases from compromised servers. RaidForums made a name for itself by hacking rival forums and releasing (doxing) personal information about their administrators.  RaidForumsは2015年に運営を開始し、50万人以上のユーザーを抱える世界最大級のハッキングフォーラムに成長した。侵害されたサーバーから「独占的な」個人データやデータベースを採取し、再販売することに重点を置いていた。RaidForumsは、ライバルのフォーラムをハッキングし、その管理者の個人情報を公開(doxing)することで有名になった。
The high-profile database leaks that were sold on the forum usually belonged to corporations across different industries. They included data of millions of credit cards and bank account numbers, routing numbers as well as usernames and passwords needed to access online accounts. This type of data can be used to steal funds online, but also to launder criminal proceeds through various accounts that cannot be linked to the criminal actors (i.e. money mule accounts).  このフォーラムで販売された有名なデータベース・リークは、通常、さまざまな業界の企業に属していた。その中には、何百万ものクレジットカードや銀行口座番号、ルーティング番号、オンライン・アカウントにアクセスするために必要なユーザー名やパスワードなどのデータも含まれていた。この種のデータは、オンラインで資金を盗むだけでなく、犯罪行為者と結びつかない様々な口座(すなわちマネーミュール口座)を通じて犯罪収益を洗浄するためにも使用できる。
Next to the forum admin, two accomplices were arrested. Europol coordinated various independent investigations into RaidForums (by Portugal, Romania, Sweden, the United kingdom and the United States), which led to the take down of the service in April 2022.  フォーラムの管理者に続いて、2人の共犯者が逮捕された。欧州刑事警察機構は、(ポルトガル、ルーマニア、スウェーデン、米国、英国による)RaidForumsに対する様々な独立した調査を調整し、2022年4月にサービスを停止するに至った。
6 Sophos, 2022, Genesis Brings Polish to Stolen-Credential Marketplaces, accessible at https://news.sophos.com/en- us/2022/08/04/genesis-brings-polish-to-stolen-credential-marketplaces/ 6 Sophos, 2022, Genesis Brings Polish to Stolen-Credential Marketplaces, access at https://news.sophos.com/en- us/2022/08/04/genesis-brings-polish-to-stolen-credential-marketplaces/.
7 Europol, 2022, One of the world’s biggest hacker forums taken down, accessible at https://www.europol.europa.eu/ media-press/newsroom/news/one-of-world’s-biggest-hacker-forums-taken-down  7 欧州刑事警察機構、2022年、世界最大級のハッカー・フォーラムが閉鎖、アクセスはhttps://www.europol.europa.eu/ media-press/newsroom/news/one-of-world's-biggest-hacker-forums-taken-down 
This online anti-fraud system recognises suspicious fraudulent traffic by collecting unique identification information from a specific user device. Digital fingerprints are composed of attributes used for browsing and digital behaviour. Digital fingerprints can therefore be used to accurately impersonate the browser activity on the victim’s machine in order to bypass anti-fraud detection systems. This type of data is taken from malware-infected computers, compiled into packages and sold.  このオンライン詐欺防止システムは、特定のユーザー・デバイスから固有の識別情報を収集することで、疑わしい詐欺トラフィックを認識する。デジタル・フィンガープリントは、ブラウジングやデジタル行動に使用される属性で構成される。そのためデジタル・フィンガープリントは、詐欺防止検知システムを迂回するために、被害者のマシン上のブラウザ・アクティビティを正確になりすますために使用することができる。この種のデータは、マルウェアに感染したコンピュータから取得され、パッケージにまとめられ、販売される。
Fraud against payment systems is often driven by the theft of personal information that can be then used in multiple ways. This type of data can in fact be used for further criminal acts including identity theft, obtaining additional information on victims and performing fraudulent financial transactions. It can also be used for refining social engineering in order to perpetrate more targeted and effective online fraud schemes impacting individuals whose information was stolen during the primary criminal process.  決済システムに対する詐欺は、多くの場合、個人情報の窃取によって引き起こされる。この種のデータは実際、個人情報の窃盗、被害者の追加情報の取得、不正な金融取引の実行など、さらなる犯罪行為に使用される可能性がある。また、ソーシャル・エンジニアリングに磨きをかけることで、一次犯罪の過程で情報を盗まれた個人を対象に、より的を絞った効果的なオンライン詐欺スキームを実行するために利用することもできる。
The quick development of a widespread data trade ecosystem has increased the threat of account takeover (ATO). This process occurs when criminals illegally access a victim’s online account for their own gain. Targeted accounts (such as online banking, email accounts or social media profiles) are valuable to criminals as they can hold funds, provide access to specific services, or contain important private information that can be sold online. ATO is also carried out either to directly access the victim’s account or to harvest data to be traded further. Nowadays, ATO is considered quite an easy technique to implement, as brute force, cracking tools and account checkers are sold on cybercrime forums for a very low price.  データ取引のエコシステムが急速に発展したことで、アカウント乗っ取り(ATO)の脅威が高まっている。このプロセスは、犯罪者が自らの利益のために被害者のオンラインアカウントに不正にアクセスすることで発生する。対象となるアカウント(オンライン・バンキング、電子メール・アカウント、ソーシャル・メディア・プロファイルなど)は、資金を保持したり、特定のサービスへのアクセスを提供したり、オンラインで売却可能な重要な個人情報を含んでいたりするため、犯罪者にとって貴重なものである。ATOはまた、被害者のアカウントに直接アクセスするため、あるいはさらに取引するためのデータを採取するために実行される。現在では、ブルートフォース、クラッキングツール、アカウントチェッカーがサイバー犯罪フォーラムで非常に安価で販売されているため、ATOは非常に簡単に実行できる手法と考えられている。
Same victims, multiple offences  同じ被害者、複数の犯罪 
Cybercrime is often interlinked, presenting a concatenated set of criminal actions that often results in the same victim being targeted multiple times. This is particularly apparent in child sexual exploitation offences, malware attacks and online fraud schemes. For instance, investment frauds are in some cases linked to other types of frauds, such as romance scams (i.e. pig butchering) and therefore re-victimising the target. Following the theft of the investments and the realisation of the fraud, criminals often contact their victims posing as lawyers or law enforcement agents offering help to retrieve their funds, in exchange for a fee.  サイバー犯罪は多くの場合、相互にリンクしており、一連の犯罪行為が連結しているため、同じ被害者が何度も狙われることになる。これは特に、児童の性的搾取犯罪、マルウェア攻撃、オンライン詐欺スキームにおいて顕著である。例えば、投資詐欺は、恋愛詐欺(ピッグブッチャー)など、他の種類の詐欺と関連している場合があり、その結果、ターゲットが再被害を受けている。投資資金が盗まれ、詐欺が発覚すると、犯罪者は弁護士や法執行機関を装って被害者に接触し、手数料と引き換えに資金を取り戻す手助けを申し出ることが多い。
Victim information is often monetised to its full extent - meaning that it can be sold to several buyers - which leads to targets being re-victimised by fraudsters and malware distributers alike. The power of information is undeniable, as ransomware groups have now used it as a hostage for several years. In addition, compromised organisations can be exposed to several simultaneous or consecutive cyber-attacks because the IABs usually do not offer exclusivity of their assets to the buyers. Due to this, the same compromised credentials can be used by different cybercriminals8.  被害者の情報は多くの場合、完全に収益化される。つまり、複数の買い手に売却される可能性があり、その結果、標的は詐欺師やマルウェア配布者によって再被害を受けることになる。ランサムウェアグループが数年前から情報を人質として利用しているように、情報の力は否定できない。さらに、IABは通常、買い手に対して資産の独占権を提供しないため、侵害された組織は複数の同時または連続したサイバー攻撃にさらされる可能性がある。このため、同じ侵害された認証情報を異なるサイバー犯罪者が使用する可能性がある8。
Victims of child sexual exploitation suffer re- victimisation both offline and online. Hands-on abusers often perpetrate their offences for a significant amount of time and, in several cases, encourage other offenders to abuse the victim as well. The depiction of sexual abuses on children results in their repeated victimisation. The child sexual abuse material (CSAM) produced by offenders is in fact shared at many levels, from closed communities of trusted perpetrators to large communities on online forums. The receivers of this imagery in most cases share it further, resulting in the same CSAM being encountered by investigators over many years and the same victim being impacted.  児童の性的搾取の被害者は、オフラインとオンラインの両方で再被害を受けている。加害者は多くの場合、かなりの期間にわたって犯罪を実行し、いくつかのケースでは、他の加害者にも被害者を虐待するよう促している。子どもに対する性的虐待の描写は、結果的に子どもたちの度重なる被害につながっている。加害者によって作成された児童性的虐待素材(CSAM)は、信頼できる加害者の閉鎖的なコミュニティからオンライン・フォーラム上の大規模なコミュニティに至るまで、実際には多くのレベルで共有されている。このイメージの受信者は、ほとんどの場合、それをさらに共有し、その結果、同じCSAMが何年にもわたって捜査当局によって目撃され、同じ被害者が影響を受けることになる。
8 SOPHOS, 2022, Multiple attackers: A clear and present danger, accessible at https://news.sophos.com/en-us/2022/08/09/multiple-attackers-increase-pressure-on-victims-complicate-incident-response/  8 SOPHOS, 2022, 複数の攻撃者: A clear and present danger, access at https://news.sophos.com/en- us/2022/08/09/multiple-attackers-increase-pressure-on-victims-complicate-incident-response/ 被害者にプレッシャーをかけ、インシデント対応を複雑にする。
Underground communities to educate and recruit cybercriminals  サイバー犯罪者を教育し、勧誘する地下コミュニティ 
Dark web forums are heavily used by cybercriminals for communication, knowledge-sharing, exchange of digital commodities and recruitment. Recent research9 reports that young individuals also make use of such environments, engaging in risky behaviour online. Among the young participants of the survey, 51 % reported to use online forums and chat rooms, out of which 12 % use dark web forums and 11 % dark web marketplaces.  ダークウェブのフォーラムは、コミュニケーション、知識の共有、デジタル商品の交換、リクルートのためにサイバー犯罪者によって多用されている。最近の調査9 によると、若年層もこのような環境を利用し、オンライン上でリスキーな行動をとっている。調査に参加した若者のうち、51%がオンライン・フォーラムやチャット・ルームを利用しており、そのうち12%がダークウェブ・フォーラム、11%がダークウェブ・マーケットプレイスを利用している。
Ransomware groups make use of forums on the clear and dark web to recruit new affiliates, pentesters, company insiders10, IABs and money mules. Ransomware leak sites have also been identified as places where affiliates are being recruited. Similarly, child sexual exploitation offenders make extensive use of these types of forums to digitally meet likeminded individuals, enhance their criminal knowledge, exchange and consume CSAM.  ランサムウェアグループは、新しいアフィリエイター、ペンテスター、企業インサイダー10、IAB、マネーミュールをリクルートするために、クリアウェブやダークウェブ上のフォーラムを利用している。ランサムウェアのリークサイトも、アフィリエイトを募集する場所として特定されている。同様に、児童性的搾取の犯罪者は、この種のフォーラムを広範に利用し、同好の士とデジタル上で出会い、犯罪知識を高め、CSAMを交換・消費している。
Virtually all types of criminal services are available for sale in these environments. Criminal hacking forums selling stolen data are booming. Crime as-a- service providers are aware of the needs of criminals and actively advertise their services on criminal markets, from criminal VPNs to IABs.  こうした環境では、事実上あらゆる種類の犯罪サービスが販売されている。盗まれたデータを販売する犯罪ハッキング・フォーラムは活況を呈している。犯罪・アズ・ア・サービスプロバイダは犯罪者のニーズを認識しており、犯罪VPNからIABに至るまで、犯罪市場で積極的にサービスを宣伝している。
Dark web forums are also an important source for gathering information on operational security (OpSec). Users give recommendations on how to avoid detection and identification in dedicated forum discussions. Guidelines and tutorials on topics such as fraud methods, child sexual exploitation, money laundering, phishing and malware are widely distributed. Furthermore, manuals and FAQs are available on how to operate on a dark web marketplace and to conduct illicit trades.  ダークウェブ・フォーラムは、オペレーショナル・セキュリティ(OpSec)に関する情報を収集するための重要な情報源でもある。ユーザーは、専用フォーラムのディスカッションで、検知や特定を回避する方法について推奨している。詐欺の手口、児童の性的搾取、マネーロンダリング、フィッシング、マルウェアなどのトピックに関するガイドラインやチュートリアルが広く配布されている。さらに、ダークウェブ・マーケットプレイスでの運営方法や不正取引の方法に関するマニュアルやFAQも公開されている。
Law enforcement action and (rival) DDoS attacks have created instability in dark web marketplaces, decreasing their average lifespan. Several known market places retired or performed an exit scam on their users in 2022.  法執行機関の動きと(ライバルの)DDoS攻撃は、ダークウェブ・マーケットプレイスに不安定さをもたらし、その平均寿命を縮めている。2022年には、いくつかの既知のマーケットプレイスが引退したり、ユーザーに対して退出詐欺を行ったりした。
9 The CC Driver European Youth Survey 2021 cover participants aged between 16 and 19 years old. It aims to explore and identify the drivers that may encourage and enable some young people to engage in cybercrime. Accessible at https://www. ccdriver-h2020.com/post/cc-driver-2021-european-youth-survey 9 CC Driver European Youth Survey 2021は、16歳から19歳の参加者を対象としている。これは、一部の若者がサイバー犯罪に関与することを奨励し、可能にする可能性のある原動力を探り、特定することを目的としている。https://www。ccdriver-h2020.com/post/cc-driver-2021-european-youth-surveyからアクセスできる。
10 TrendMicro, 2022, Ransomware spotlight – LockBit, accessible at https://www.trendmicro.com/vinfo/us/security/ news/ransomware-spotlight/ransomware-spotlight-lockbit  10 TrendMicro, 2022, Ransomware spotlight - LockBit, https://www.trendmicro.com/vinfo/us/security/ news/ransomware-spotlight/ransomware-spotlight-lockbit からアクセス可能。
What happens with the criminal profits?  犯罪者の利益はどうなるのか?
Cybercriminals use a variety of services to launder their criminal proceeds, depending on the volume and the form of their profits. They often utilise their own money laundering capabilities (with money mules, straw men, and crypto mixers), however some networks contract professional money launderers in a crime-as-a-service collaboration. Mirroring the global dimension of cybercrime, these networks are composed of members located in different countries, adding complexity to the laundering scheme. However, law enforcement has successfully unveiled criminal networks providing professional money laundering services.  サイバー犯罪者は、利益の量や形態に応じて、犯罪収益の洗浄に様々なサービスを利用する。彼らは多くの場合、(マネーミュール、ストローマン、暗号ミキサーなど)独自のマネーロンダリング能力を活用するが、一部のネットワークは犯罪・アズ・ア・サービスのコラボレーションでプロのマネーロンダリング業者と契約している。サイバー犯罪のグローバルな側面を反映し、これらのネットワークは異なる国に所在するメンバーで構成され、資金洗浄スキームに複雑さを加えている。しかし、法執行機関は、専門的なマネーロンダリングサービスを提供する犯罪ネットワークの摘発に成功している。
Ransomware groups receive cryptocurrency payments from victims directly to their dedicated wallet. From there funds are usually funnelled through a mixer and distributed automatically between the administrators, the affiliate carrying out the attack and the service providers. The split of the profits received by the affiliate is based on their rank, which is determined by the success rate of their attacks and the criminal profits generated. At entry level the affiliate shares are low (around 20-40 % of the ransom), but at higher ranks they can receive up to 80 % of the profits because they have proven to be a lucrative business partner for the criminal groups running the service.  ランサムウェアグループは、被害者からの暗号通貨による支払いを直接専用のウォレットに受け取る。そこから通常、資金はミキサーを経由し、管理者、攻撃を実行するアフィリエイト、サービスプロバイダーの間で自動的に分配される。アフィリエイトが受け取る利益の分配は、攻撃の成功率と発生した犯罪利益によって決定されるランクに基づいている。入門レベルではアフィリエイトの取り分は低いが(身代金の20~40%程度)、より高いランクになると、サービスを運営する犯罪グループにとって有利なビジネスパートナーであることが証明されているため、利益の最大80%を受け取ることができる。
Cybercriminals involved in cyber-attacks and related services, as well as those trading and administrating dark web marketplaces, carry out their financial transactions almost exclusively in cryptocurrencies. For this reason, they make extensive use of obfuscation techniques to anonymise their financial activities before cashing out the illicit profits. These techniques include the use of mixers, swappers, over-the-counter trading and decentralised exchanges. In many cases, obfuscation methods are used prior to sending the funds to exchanges. The use of several obfuscation methods deployed on top of each other is a common practice. This requires highly skilled investigators to utilise various methods to follow cryptocurrency (demixing, tracing cross- chain swaps, analysing liquidity pools, etc.), which slows down investigations. Still, mixers are the most commonly encountered obfuscation method. Mixers facilitate obfuscation by blending the funds of many users together, concealing the financial trail.  サイバー攻撃や関連サービスに携わるサイバー犯罪者、ダークウェブ・マーケットプレイスの取引・管理者は、ほぼ独占的に暗号通貨で金融取引を行っている。そのため、彼らは不正な利益を現金化する前に、金融活動を匿名化するために難読化技術を多用している。こうした技術には、ミキサー、スワッパー、店頭取引、分散型取引所の利用が含まれる。多くの場合、難読化手法は取引所に資金を送る前に使われる。複数の難読化手法を重ねて使用するのが一般的である。そのため、高度な技術を持つ捜査官が暗号通貨を追跡するために様々な方法(デミキシング、クロスチェーンスワップの追跡、流動性プールの分析など)を利用する必要があり、捜査が遅くなる。それでも、ミキサーは最もよく遭遇する難読化手法である。ミキサーは、多くのユーザーの資金を混ぜ合わせ、金融の痕跡を隠すことで、難読化を容易にする。
This visual illustrates a complex cryptocurrency case. In this Decentralised Finance (DeFi) hack, the cryptocurrency BNB is stolen and sent to RenProject, a protocol that allows for the movement of value of cryptocurrency across blockchains. BNB is converted to bitcoin, which is then sent to a mixer (and therefore needs to be demixed by investigators, a complex labour-intensive task). The funds are then split, which often happens in ransomware cases11. The split funds are converted to RenBTC, with some on the Ethereum blockchain and some on the BNB blockchain. The former are converted to Ethereum, after which they are deposited to mixer Tornado Cash. The latter is converted back to bitcoin on the Bitcoin blockchain (through REN) and then converted to RenBTC on Ethereum blockchain and eventually into Ethereum, after which it is sent to Tornado Cash.  このビジュアルは、複雑な暗号通貨のケースを示している。このDecentralised Finance (DeFi)ハッキングでは、暗号通貨BNBが盗まれ、ブロックチェーン間で暗号通貨の価値の移動を可能にするプロトコルであるRenProjectに送られる。BNBはビットコインに変換され、ミキサーに送られる(そのため、複雑な労働集約的作業である調査員による混合解除が必要)。その後、資金は分割される。これはランサムウェアのケースでよく起こる11。分割された資金はRenBTCに変換され、一部はイーサリアム・ブロックチェーン上に、一部はBNBブロックチェーン上に置かれる。前者はイーサリアムに変換された後、ミキサー・トルネード・キャッシュに入金される。後者はビットコインのブロックチェーン上で(RENを通じて)ビットコインに戻され、イーサリアムのブロックチェーン上でRenBTCに変換され、最終的にイーサリアムに変換された後、トルネードキャッシュに送られる。
11 Splits in criminal cryptocurrency cash-outs often point to various criminals and affiliates involved, and might lead to payments for criminal infrastructure.  11 犯罪暗号通貨のキャッシュアウトにおける分裂は、多くの場合、様々な犯罪者や関係者が関与していることを指し示し、犯罪インフラへの支払いにつながる可能性がある。
Criminal networks involved in fraud accrue their profits in both fiat and cryptocurrencies. The laundering of their criminal funds usually happens very quickly after the fraud has taken place; this means that by the time the victim realises the scam, the money is already split through accounts based in multiple countries and laundered. Online fraudsters in particular make frequent use of gambling platforms to launder profits, as they can be used to obscure the origins and flows of illicitly-obtained funds.  詐欺に関与する犯罪ネットワークは、フィアット通貨と暗号通貨の両方で利益を得ている。つまり、被害者が詐欺に気づいたときには、資金はすでに複数の国の口座に分散され、洗浄されているのだ。特にオンライン詐欺師は、不正に入手した資金の出所や流れを不明瞭にするためにギャンブル・プラットフォームを頻繁に利用して利益を洗浄している。
All the above types of cybercriminals make use of money mules to launder illicit profits, whether in fiat or cryptocurrencies. Money mules are key facilitators for the laundering of illicit profits generated by cybercrime as they enable criminals to swiftly move funds across a network of accounts, often in different countries.  上記のタイプのサイバー犯罪者はすべて、不換紙幣であれ暗号通貨であれ、不正な利益を洗浄するためにマネー・ミュールを利用している。マネーミュールは、犯罪者が多くの場合、異なる国にある口座のネットワーク上で資金を迅速に移動させることを可能にするため、サイバー犯罪によって生み出された不正な利益の洗浄を促進する重要な役割を担っている。
While money mules are sometimes recruited in criminal forums, social media remains a key recruitment environment. Sometimes, the victims of frauds are unwittingly used as money mules themselves. The use of neo banks has been observed in several investigations into criminal offences involving the use of money mules.  資金仲介人は犯罪フォーラムで募集されることもあるが、ソーシャルメディアは依然として重要な募集環境である。詐欺の被害者自身が、知らず知らずのうちにマネー・ミュールとして利用されることもある。マネーの運び屋を利用した犯罪に関するいくつかの捜査では、ネオ・バンクの利用が確認されている。
Europol’s support  欧州刑事警察機構の支援 
Europol’s mission is to support EU Member States and cooperation partners in preventing and combating all forms of serious international and organised crime, cybercrime and terrorism. In 2013, Europol set up the European Cybercrime Centre (EC3) to strengthen the law enforcement response to cybercrime in the EU and thus to help protect European citizens, businesses and governments from online crime. EC3 offers operational, strategic, analytical and forensic support to Member States’ investigations. At the level of operations, EC3 focuses on cyber-dependent crime, child sexual exploitation, illicit trade on the dark web and alternative platforms as well as online fraud schemes including payment fraud.  欧州刑事警察機構(Europol)の使命は、あらゆる形態の深刻な国際犯罪や組織犯罪、サイバー犯罪、テロリズムの防止と撲滅において、EU加盟国と協力パートナーを支援することである。2013年、欧州刑事警察機構は欧州サイバー犯罪センター(EC3)を設立し、EU域内のサイバー犯罪に対する法執行機関の対応を強化することで、欧州市民、企業、政府をオンライン犯罪から守ることに貢献している。EC3は加盟国の捜査に対し、作戦、戦略、分析、法医学的支援を提供している。作戦レベルでは、EC3はサイバー依存犯罪、児童の性的搾取、ダークウェブや代替プラットフォームでの不正取引、決済詐欺を含むオンライン詐欺スキームに焦点を当てている。
European Money Mule Action - EMMA 812  欧州マネー・ミール・アクション - EMMA 812 
A total of 25 countries, supported by Europol, Eurojust, INTERPOL and the European Banking Federation (EBF) have joined forces for the annual iteration of operation EMMA, aimed to crack down money mules and their recruiters. During an operational phase carried out between mid-September to the end of November 2022, 8 755 money mules were identified alongside 222 recruiters, and 2 469 individuals were arrested worldwide. With the coordination of the EBF, around 1 800 banks and financial institutions supported law enforcement authorities in this action, together with online money transfer services, cryptocurrency exchanges, Fintech and KYC companies, and multinational computer technology corporations. In some cases, the ease of opening bank accounts with misused or stolen personal details largely facilitates the mules’ work. In many countries, cryptocurrencies remain the main means to cash money out.  欧州刑事警察機構(Europol)、欧州司法機構(Eurojust)、国際刑事警察機構(INTERPOL)、欧州銀行連合(EBF)の支援を受けて、合計25カ国が毎年恒例のEMMA作戦に参加した。2022年9月中旬から11月末までの作戦期間中、8755人の「資金仲介人」が222人の「仲介人」とともに特定され、世界中で2469人が逮捕された。EBFの調整により、約1,800の銀行および金融機構が、オンライン送金サービス、暗号通貨取引所、フィンテックおよびKYC企業、多国籍コンピュータ・テクノロジー企業とともに、この行動において法執行当局を支援した。場合によっては、悪用されたり盗まれたりした個人情報を使って銀行口座を開設することが容易であることが、斡旋業者の活動を大きく促進している。多くの国では、暗号通貨が資金を換金する主な手段であり続けている。
Following recent trends, Asia and Africa are the final destinations of many of the illegal transactions. Several countries reported how the mules involved in respective investigations are mainly from abroad and, consequently, the money is sent using foreign accounts.  最近の傾向として、アジアとアフリカが多くの違法取引の最終目的地となっている。複数の国から、それぞれの捜査に関与している斡旋業者は主に海外出身であり、その結果、資金は海外の口座を使って送金されているとの報告があった。
12 Europol, 2022, 2 469 money mules arrested in worldwide crackdown against money laundering, accessible at https:// www.europol.europa.eu/media-press/newsroom/news/2-469-money-mules-arrested-in-worldwide-crackdown-against- money-laundering  12 Europol, 2022, 2 469 money mules arrested in worldwide crackdown against money laundering, accessible at https:// www.europol.europa.eu/media-press/newsroom/news/2-469-money-mules-arrested-in-worldwide-crackdown-against- money-laundering 

 

 

|

« CSA ゼロトラスト指針原則 (2023.07.18) | Main | サイバー攻撃を受けた時、国は誰にエスカレーションする? NATO CCDCOE エスカレーション・ロードマップ 分析ペーパー »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« CSA ゼロトラスト指針原則 (2023.07.18) | Main | サイバー攻撃を受けた時、国は誰にエスカレーションする? NATO CCDCOE エスカレーション・ロードマップ 分析ペーパー »