原題: Alleged Jabber Zeus Coder ‘MrICQ’ in U.S. Custody
ウクライナ人ハッカー「MrICQ」、米国でジャバージーザス開発者として逮捕される
2012年に米国企業から数千万ドルを盗むサイバー犯罪グループに関与したとして起訴されていたウクライナ人ハッカー、ユリイ・イゴレビッチ・リブツォフ(通称MrICQ)がイタリアで逮捕され、現在米国で拘束されています。本記事では、彼が関与した「ジャバージーザス(Jabber Zeus)」グループの手口や背景、そして今回の逮捕の意義について解説します。
主要なポイント
- MrICQの役割:彼はジャバージーザスグループの開発者の一人で、被害者が金融機関のサイトでワンタイムパスコードを入力すると即座に通知を受け取る仕組みを担当していました。
- ジャバージーザスの攻撃手法:カスタム版のZeuSトロイの木馬を用い、「マン・イン・ザ・ブラウザ」攻撃で被害者のウェブフォーム送信情報を密かに傍受し、銀行のログイン情報を盗み出していました。
- マネーロンダリングと資金移動:盗んだ給与口座の資金を「マネーミュール」と呼ばれる中継者を通じてウクライナや英国に送金し、不正資金の洗浄を行っていました。
- 逮捕と引き渡し:リブツォフはイタリアで逮捕され、2025年4月に米国への引き渡しが確定。2023年10月にネブラスカ州に到着しFBIの拘束下にあります。
- 関連人物と組織:グループのリーダー、ヴィアチェスラフ・ペンチュコフは2022年に逮捕され、18年の刑を受けています。また、ジャバージーザスは後の「Evil Corp」とも関連し、さらなる大規模サイバー犯罪に繋がっています。
技術的な詳細や背景情報
ジャバージーザスは、銀行の認証情報を盗むためにZeuSトロイの木馬のカスタム版を使用しました。このマルウェアは「マン・イン・ザ・ブラウザ」攻撃を行い、被害者がウェブブラウザで入力する情報をリアルタイムで改ざん・傍受します。特に「Leprechaun」と呼ばれる機能は、被害者が金融機関のフィッシングサイトでワンタイムパスコードを入力した際に、そのコードをハッカーに通知する仕組みです。
また、ジャバージーザスは被害者のPCから直接銀行にアクセスし、被害者のIPアドレスや端末情報を完全に模倣して不正送金を行う「バックコネクト」機能も備えていました。これにより当時のオンラインバンキングの多要素認証を巧みに回避していました。
グループはロシア籍のマキシム・ヤクベツ(ハンドル名「Aqua」)を中心に組織されており、彼らは後に「Evil Corp」として知られる大規模サイバー犯罪組織へと発展しました。Evil CorpはDridex(別名Bugat)トロイの木馬を使い、米欧の企業から1億ドル以上を窃取しています。
影響や重要性
ジャバージーザスの手口は、金融機関の多要素認証を突破する高度な技術を駆使しており、サイバー犯罪の進化を象徴しています。特に中小企業を狙った攻撃は被害額が大きく、被害者が銀行と争う事例も多発しました。
今回の逮捕は、長年にわたり逃亡していた主要メンバーの拘束であり、国際的な捜査協力の成果を示しています。また、ジャバージーザスとEvil Corpの関連性を踏まえると、今後のサイバー犯罪対策において重要な前例となるでしょう。
まとめ
ウクライナ人ハッカーMrICQことユリイ・リブツォフの逮捕は、ジャバージーザスグループの長年にわたる犯罪活動の一端を明らかにし、国際的なサイバー犯罪捜査の成功例となりました。彼らの高度なマルウェア技術と組織的な資金洗浄手法は、現代のサイバーセキュリティにおける大きな脅威を示しています。今後もこうした犯罪組織の摘発と防止に向けた取り組みが求められます。
