福森です。日本で初めて、国際サイバー捜査で摘発が行われたと報道がありました。
ツールの作者は2021年11月に逮捕されていましたが、今回はツールを利用して犯罪行為を行なっていた人物の逮捕ということのようです。 インターポール内で、私が最初に依頼を受けたのは2020年2月でした。その時点で誰が16Shopの作者なのかはすでに複数のセキュリティベンダーが報告しており、半ば周知の事実になっている状態でした。
だからと言って、これらの情報を右から左に流して、「はい、逮捕して」というわけにはいかないので、私やトレンドマイクロを含むインターポールのチームで一から洗い直しました。
上述のブログでも触れられているように、作者は自分の身元を隠そうとせずに、メールアドレスに限らず、ご丁寧に実名のフェイスブックアカウントまで残しており、自分のしていることが犯罪だという認識がないかのようでした。私の調査でも追加のフィッシングキット、ナンバープレート、複数のドメイン、ドメイン登録者情報に残されている氏名、電話番号等が判明し、彼が犯人だという強い証拠があると報告したメールがこちらです。
ただ、こういったケースでいつも問題になるのが被害者の有無です。フィッシングキットは長年に渡って調査していたので、被害者の情報も収集できていました。ただ、私が持っていた被害者情報はフィッシングによって盗まれたアカウント情報(ID、パスワード、クレジットカード番号等)だけであって、そのアカウント情報を使ってその先でどういう悪事が行われ、いくらの被害額が出たのかまでは把握できていませんでした。例えば、アマゾンのアカウントが盗まれたとして、そのアカウントでいくらの不正な買い物が行われたのかはわかっていなかったということです。そこで具体的な被害情報について、インターポールが加盟国に情報提供依頼(2021年3月)し、今回のインドネシアでの逮捕(2023年7月)に繋がったのだと思います。
2020年に捜査を開始して、2021年11月の作者逮捕で終わった話だと思っていた事案にまさかこんな結末がくっついてくるとは思ってもみませんでしたが、こういう繋がり方をするケースもあるのかと大きな学びにもなりました。サイバー犯罪の被害に遭ってしまった場合に、どうせ犯人は外国にいて逮捕できないから・・という理由で被害者が被害届を出さない、または、警察側が受理したがらない、というケースをよく耳にします。ただ今回のケースのように思いもよらない繋がり方をして逮捕にたどり着くこともあるので、やはり被害届という形で公式な記録に残しておくことは重要であると、被害者の方、日本全国の警察官の方にお伝えしたいです。