原題: Alleged Jabber Zeus Coder ‘MrICQ’ in U.S. Custody
ウクライナ人ハッカー「MrICQ」、米国で逮捕—ジャバーゼウス開発に関与か
2012年に米国の企業から数千万ドルを盗んだとして起訴されていたウクライナ人ハッカー「MrICQ」ことユーリ・イゴレビッチ・リブツォフ氏が、イタリアで逮捕され米国に引き渡されたことが明らかになりました。彼は悪名高いサイバー犯罪グループ「ジャバーゼウス」の開発に関与していたとされています。
主要なポイント
- MrICQの正体と逮捕経緯:ユーリ・リブツォフ氏はドネツク出身の41歳で、2012年の起訴状では「John Doe #3」として記載されていました。イタリアで逮捕され、2025年4月に米国への引き渡しが確定しました。
- ジャバーゼウスとは:ジャバーゼウスはカスタム版のZeuSバンキングトロイの木馬を使い、主に中小企業の銀行ログイン情報を盗み出すグループです。被害者が金融機関のワンタイムパスコードを入力すると、即座に通知が届く仕組みを持っていました。
- 攻撃手法の革新性:「man-in-the-browser」攻撃を早期に実践し、被害者のブラウザ上のHTMLを書き換えて多要素認証のコードを盗む「Leprechaun」機能を搭載。被害者のPCを経由して銀行口座にアクセスする高度な手口を用いていました。
- 資金洗浄とマネーミュールの活用:盗んだ資金は電子通貨交換サービスを通じて洗浄され、複数のマネーミュール(資金送金役)がウクライナや英国で資金を中継していました。
- 関連人物と組織:ジャバーゼウスのリーダーはマクシム・ヤクベツ(ハンドル名「Aqua」)で、後に「Evil Corp」というサイバー犯罪組織を率い、Dridexトロイの木馬を使って1億ドル以上の被害を出しています。
技術的な詳細や背景情報
ジャバーゼウスはZeuSトロイの木馬のカスタム版を使用し、被害者の銀行ログイン情報を盗むだけでなく、ブラウザの表示内容を改ざんして多要素認証のワンタイムパスコードも傍受しました。これにより、二段階認証を突破する高度な攻撃が可能となりました。
この攻撃は「man-in-the-browser」攻撃と呼ばれ、ユーザーが入力したデータをブラウザ上でリアルタイムに改ざん・傍受する手法です。ジャバーゼウスはさらに、被害者のPCから直接銀行にアクセスする「backconnect」機能を持ち、被害者のIPアドレスを使って不正送金を行いました。
また、グループはJabberというインスタントメッセージングサービスを使い、被害者の認証コードが入力されるたびに通知を受け取っていました。この仕組みは「Leprechaun」と呼ばれ、被害者の中でも特に高額な商業銀行口座を狙うためのものでした。
影響や重要性
ジャバーゼウスの攻撃は中小企業を中心に甚大な経済的被害をもたらし、数百万ドル規模の損失を引き起こしました。多くの被害者は銀行との訴訟に発展し、オンラインバンキングの安全性に対する信頼を大きく揺るがしました。
今回のMrICQ逮捕は、長年にわたる国際的な捜査と協力の成果であり、サイバー犯罪組織の摘発に向けた重要な一歩です。ジャバーゼウスの背後にいる人物や関連組織の摘発は、今後のサイバーセキュリティ対策に大きな示唆を与えます。
まとめ
ウクライナ出身のハッカーMrICQことユーリ・リブツォフ氏が、米国企業から巨額の資金を盗み出したジャバーゼウスグループの開発に関与し、イタリアで逮捕されたことが明らかになりました。ジャバーゼウスは高度な「man-in-the-browser」攻撃を駆使し、多要素認証を突破する手口で被害を拡大させました。今回の逮捕は、国際的なサイバー犯罪対策の重要な成果であり、今後も関連組織の摘発が期待されます。
