Last Updated:February 23.2021
米国では、この数年サイバー詐欺犯罪として“scareware scam”という言葉が定着してきた。「偽のウィルス除去ソフトウェア(bogus anti-virus software)」で、その意味は、簡単にいうと資金収入を得ることを目的とした詐欺の一種で、ブラウザー上で本来のセキュリティ検知機能がないのにもかかわらず「エラーが見つかりました」等と、嘘のセキュリティ感染結果を報告させ、その後、ユーザーの意思とは関係なくソフトウェアを半強制的にインストールもしくはダウンロードさせられることにより「不具合箇所の修正のため」と称しソフトウェアを購入するように誘導する。
利用者はウイルス駆除やスパイウェア駆除が出来ないばかりか、コンピュータの起動に必要なシステムファイルまで削除するものもある。
ユーザーを虚偽の感染報告で恐怖に落としいれ、正常な状況判断をできなくさせた上でソフトウェア購入ページに誘導し違法な販売を行うことから「脅えさせる」という意味の「スケア(scare)」と”ソフトウェア”を組み合わせた造語である。誤った情報を通知するソフトという意味の「ミスリーディング・アプリケーション」等とも呼ばれる。また、ソフトの行為自体が詐欺であるため「詐欺ソフト」とも呼ばれる。(筆者注1)
2010年5月27日、連邦司法省イリノイ州北部地区(Northern District of Illinois)連邦検事局は連邦「電子通信詐欺法(Wire Fraud Act)」「コンピュータ詐欺および不正使用防止法(Computer Fraud and Abuse Act)」に基づき国際詐欺グループをシカゴ連邦地方裁判所に起訴した旨リリースした。(筆者注2)
現在、同裁判所の大陪審(grand jury)で審理中であるが、今回のブログは、連邦司法省やFBIの資料等にもとづき、(1)犯罪グループの起訴事実と手口の詳細、(2)犯罪者組織の国際的な活動実態とその背景、(3)サイバー犯罪条約の批准がすすまない等国際サイバー犯罪の取組みの難しさと米国の法執行戦略、(4)2008年以来の連邦取引委員会や司法省等の法執行当局による民事・刑事告訴等の取組み、(5)2006年1月に改正コンピュータ・スパイウェア法を適用する初めてのスパイウェア裁判を起こしているワシントン州の規制効果等について解説し、最後にわが国における類似犯罪に対する適用法や立法論等につき補足する。
筆者が最も関心を持つ起訴の根拠法についてシカゴ連邦地裁のサイトでは確認できなかったが、関連サイトで「起訴状」が確認出来た。詳しくは本文で述べるが、米国のサイバー犯罪にごく一般的に適用される連邦現行法律集(U.S.C.)第18編第371条(共謀罪:Conspiracy)、第1030条(コンピュー詐欺及び不正利用防止罪)、第1343条(電子通信詐欺罪:Wire Fraud)および第2条(正犯の定義)で起訴されている。
その時点から米国におけるscareware刑事裁判の歴史は始まっていたといえるが、その裁判の結末等も含めて解説する。
この種の連邦司法省等の公式リリースは、起訴事実は詳細に解説するものの根拠法については比較的説明内容は丁寧ではない。「起訴状」で確認すればよいのであるが、わが国の大学のように外国法や判例検索に関する専門チューターがほとんどいない状況では正確な情報が入手できず十分な理解はままならないのが現状である。本ブログが何がしかの役に立てば幸いである。
なお、米国のサイバー犯罪に関する最近の法執行や取締り強化の動向として、(1)6月28日付けで連邦取引委員会(FTC)が“Money Mules(海外への違法資金送金請負業)” (筆者注3)のネットワークを利用した デビットカードやクレジットカード所有者の個人情報の「小口(被害総額では1,000万ドル(約8億7,000万円)以上)なりすまし詐取」の国際犯罪グループに対する裁判所の資産凍結・停止命令を得た旨のリリースが出されており、また(2)2009年8月26日および10月29日付けで連邦預金保険公社(FDIC)が「金融機関のCEO宛に犯罪組織によるインターネット上での海外への電信送金(wire transfer)(筆者注3-2)や銀行間電子的資金決済システム(ACH)を利用し、無権限のログイン証明に基づくウェブ上での資金運び屋(money mules)を介した違法詐欺による電子資金移動の拡大化傾向に関する警告通達」を発している。
一方、英国では3月23日、英国ビジネス・イノベーション・職業技能省( Department for Business, Innovation and Skills :BIS)は自動呼出装置を使用した無言電話セールスに対し最高200万ポンド(約2億5,800万円)の刑罰強化規則を施行した。BISの解説サイト8/22(21) 、英国「通信・メディア庁(OFCOM)」の“silent and abandoned calls”に関する動画で解説①、解説②を行っている。
これらについての解説は、機会を改める。
今回は、2回に分けて掲載する。
Ⅰ.連邦司法省の起訴状(刑事事件)に基づく起訴事実および被告の概要
1.起訴事実の概要
60か国以上の国のインターネット・ユーザーが被害者となり、総額1億ドル以上となる100万以上の「偽のウィルス除去ソフトウェア製品」を詐欺的に購入させられるという国際サイバー犯罪の手口が明らかとなった。連邦政府の起訴状によると、被告は米国オハイオ州シンシナティ地域に住む男性1人と米国以外に住む男性2人とされる(日本の被害者がいかほどいるか筆者は分からない。英文の画面を読んでそのまま購買行動に移れるほどわが国のユーザーの英語力はないこと幸いしているのか?)。
起訴状によると、被告は自らが経営するソフトウェア会社である「Innovative Marketing ,Inc:IM」(中央アメリカの英連邦加盟国Belizeで法人登記)や「Byte Hosting Internet Services LLC:Byte Hosting」(オハイオ州のシンシナティに本部)の名を使い各種の正当な会社のウェブサイトにマルウェアを非難するひも付きバナー広告(価格は30ドル~70ドルで商品名は“Malware Alarm”、“Antivirus 2008”、“VirusRemover 2008”(筆者注4)を掲載し、インターネット・ユーザーをして自分のコンピュータがマルウェアに感染したりもしくは重大なエラーをかかえているとして、限られた処理能力しかなかったり、あるいは救済能力が存在しない瑕疵があるソフトウェア商品であるスケアウェアを買わせるよう仕向ける欺罔行為を行った。
起訴状にある犯罪手口は、インターネット詐欺として広くかつ最も急成長し流行っている類型の1つに当たるものである。
2.個人被告3名の概要
①ビヨン・ダニエル・スンディン(Bjorn Daniel Sundin)は、IMの最高技術責任者(chief technology officer)かつ最高執行責任者(chief operating officer)でスェーデン国籍、31歳で現在スェーデンにいるといわれている。
②サイレスクマール・P・ジャイン(Shaileshkumar P. Jain)(通称Sam Jain)はIMのCEOで米国籍(インド出身)、40歳で現在はウクライナにいるといわれている。(国際刑事警察機構(Interpol)で指名手配されている)
③ジェームズ・リノ(James Reno)は、26歳で現在はオハイオ州のアメリアに住んでいる。他の2人の被告とともに元Byte Hostingの所有者兼運用責任者でありIMに代り被害者である消費者に対しコールセンターおよび代金請求事務を行ったとされている。
3.裁判の視点から見た犯行の具体的手口
犠牲者は、IMがコントロールするスケアウェア・ウェブサイトでは次のような具体的な誘導が見られたと述べている。(なお、スケアウェア・サイトのIE 等ブラウザ画面展開は9月29日のワシントン州司法長官サイトの最後”Registry Cleaner XCP demo”で具体的に見ることができる)
①IMのスケアウェアのサイトはウェブサイトとはどう見ても思えないもので、むしろユーザーのPCのOSから発信された警告メッセージのように見えた。すなわち、操作上のエラーをユーザーに知らせてそこに表示されたボックスをクリックするよう指示しているように思えた。
さらにそのエラーメッセージ・プロンプト(コンピュータがユーザーに対して入力を促す記号)はユーザーが同意や拒否にかかわらず、またエラーメッセージ・ボックスの閉鎖(xの入力)を無視して画面に表示された。
②IMのスケアウェアは、ユーザーのPCが様々なエラーやウイルスのスキャンを行っているようなアニメのグラフィック画像を表示した。その結果、偽のスキャン結果は偽のスキャンで重大なエラーが検出されたことを示した。
③IMのスケアウェアのサイトは、存在しない重大なエラーを補修すると偽って犠牲者たるユーザーがIMの製品の無料トライアル版をダウンロードするよう促した。
被告らは以上のような「ブラウザ・ハイジャック」、「マルチ・詐欺的スキャン」
および「偽のエラーメッセージ」を行った結果、” Malware Alarm”、”Antivirus 2008”や“Virus Remover 2008”等の製品を販売した。
起訴状によると、被告は時々一定のプレチェック用オプションボックスを意図的に隠し、被害者への販売数量を増加させたりした。
通常これらクレジットカードによる資金決済手続は、被告らが管理する世界中に設けた銀行口座にいったんは預入され、さらにヨーロッパに設けた銀行口座に送金された。
また被告らは、IMのソフト購入者からの苦情窓口として”Byte Hosting”を使用した。つまり、被告リノ等は同製品が偽の表示など詐欺的商法により販売されていることを承知の上コールセンターとしてすでに被告がインスロール済の合法的なウィルスソフトの削除をするよう説得した。
さらに同コールセンターの従業員には、犠牲者がクレジットカード会社や法執行機関に通知するのを思いとどまらせるため一定の払戻し(refund)に応じる権限が与えられていた。
Last Updated:February 23,2021
4.各被告に対する起訴訴因と適用処罰および没収措置
スンディンおよびジャインに対しては、電子通信詐欺罪に関する24の訴因、またリノに対しては電子通信詐欺罪に関する12の訴因が適用され、全員に対してはコンピュー詐欺の共謀罪につき1つの訴因で告訴された。また、26の訴因にかかるコンピュータ詐欺に関する起訴は2010年5月26日シカゴ連邦地方裁判所大陪審に送付された。
この結果、有罪となれば被告は最高20年の拘禁刑および最高25万ドルの罰金刑が科されることになる。
また、連邦検事はウクライナに集められた違法な売上金1億ドルの没収を求めている。
5.シカゴ連邦地方裁判所に係属された本刑事事件の推移
(1)被告の欠席裁判
シカゴ連邦地方裁判所に係属された本刑事事件の被告の容疑に関し、連邦検事局は裁判所に対し2008年12月に連邦取引委員会がスケアウェア詐欺を行った被告に対してとった民事申立の大部分を繰り返した。
連邦判事はInnovative Marketing に対する法廷侮辱罪を支持し、また 告発された3人の被告は、不特定のウェブサイトに広告を掲載するため少なくとも無権限で7つの架空の広告代理店(“BurnAds”、“UniqAds”、“NetMediaGroup”、“ForeceUp”を含んでいる)を設置した。その広告代理店により約束された詐欺犠牲会社に対し少なくとも85,000ドルが未払いとなっている。その被害会社数は未確認である。
(2)2010年6月3日、リノ被告は「無罪の答弁」を行った。
Ⅱ.同サイバー犯罪グループに見る国際的な活動の実態とその背景
6月21日付けの「タイム」は次のような記事を独自の調査に基づき特集している。サイバー犯罪は世界中の一部のマニアックな犯罪グループというより、知的レベルが高くしかし就職機会が恵まれないウクライナ等を中心とする国際化が急速に拡がっていることは間違いない。また、以下述べるとおりこれらの犯罪捜査には世界中の警察・司法機構だけでなくマカフィー(McAfee)の例にみるとおり民間セキュリティ調査専門家の協力は欠かせない。その意味で、わが国のIPA等調査体制はいかがであろうか。
「世界的に見たサイバー犯罪とりわけスケアウェア詐欺は急増し、マカフィーによると2009年の増加率は400%増で2010年には最も犠牲が大きいオンライン詐欺と指摘している。すなわち1日あたり約100万台以上のコンピュータに感染させて3億ドル以上の不法なグローバル不正収益を得ると見込んでいる。
IMのキエフ事務所では数百人のプログラマー、翻訳者、データベース技術者がソフトウェア開発の世界的リーダー企業に育て上げた。億万ドルの収益を上げたことは窮迫している前ソ連邦における例外的な成功例といえるが、一方でその経営者は現在シカゴ連邦地方裁判所の被告となっている。
今回のFTCの告訴の例はサイバー犯罪に対するまれな勝利であった。サイバー犯罪はウクライナ等のように法執行体制が緩い国で活動する。
FTCによるとIMは2003年に“AntiVirus”、“DriveCleaner”等の名前で数百のアンチウイルス・ソフトを売り始めた。米国のナショナル・ホッケーリーグ、経済専門紙「エコノミスト」やメジャーリーグ・ベースボールの正当なウェブサイトに誤解を招く広告を置き、消費者に悪意のあるソフトを購入する前に偽のスキャンを自動的に機能させるというものであった。FTCは消費者から1000以上の苦情を受け世界中に設置しているダミー会社(shell companies)を通じて容疑者の追跡・調査に乗り出した。
このような中でドイツ・マカフィーの研究者Dirk Kollberg氏は、2008年にIMの広告のいくつかにおいてユーザーの同意なしに自動的にソフトをダウンロードしていることを発見した後、捜査は大きく発展した。驚くべきことにIMのサーバーはパスワードによって保護されていなかったため、保有情報は広く部外者によるアクセスが可能であった。その結果、IMの社内データはKollbergによるIMの内部構造や製品についての洞察を可能にした。
Kollbergは、スマートなロゴと顧客ケア用のホットラインの裏でIMは極めて大規模に偽のアンチウイルス・ソフトを製造、販売していた情報を得た。同社のサーバーから得られたデータに基づきKollbergは2008年単年度で1億8,000万ドルを違法に得ていたと見込んだ。このことはFTCが告訴に踏み込むのに大いに貢献した。
スケアウェア業界を破壊させるという試みは、弱い規制立法、取締り効果が薄い法執行体制および堕落した役人のいる国で機能することで身動きできなくなる。
しかし、ウクライナはゆっくりではあるが、サイバー犯罪と戦う必要性に目覚めつつある。
ウクライナ内務省は2009年に「反サイバー犯罪」捜査部隊を設置、リーダーのルスラン・パホーモフ(Ruslan Pakhomov)は苦しい戦いを行っていると述べている。
「すなわち極めて重要な調査資源や裁判官や検察官が取り扱い事件を有罪に持ち込むために必要な知識に欠いている。
また1か月あたりの平均賃金がわずか200ドル(約17,400円)であるウクライナでは、たとえスケアウェア製造会社であっても若いコンピュータエンジニアは仕事に就くため行列を作っている。多くの有能で十分に教育を受けたプログラマーは多くいるが仕事は十分にない。彼らは自分の腕を振るう場を探している」と述べている。
なお、IMは2009年に閉鎖したしたが、内務省は別の場所で業務を行っているかも知れないと述べている。Kollbergは誰が裏にいるかを特定するのは困難であるが、スケアウェア詐欺は依然多くが行われており、その理由として「あなたは企業があって数億円稼ぐなら、あなたはそれをあきらめるでしょうか」と指摘している。
Ⅲ.連邦取引委員会の取組み
連邦取引委員会(FTC)は、違法詐欺の被害者急増を阻止すべく連邦地方裁判所へ次の一時差止命令の申立告訴を行い判決が下された。
(1)2008年12月2日、1,000以上の消費者からの苦情に基づき、FTCは被告の告訴につき委員会評決を行い、その結果が4-0であったことを受け同日付けでメリーランド州連邦地方裁判所に「業務の一方的一時的(緊急)差止命令(Ex Parte (エキソパルティ)temporary restraining order:Ex Parte (筆者注5) TRO)」を告訴した。(事件番号08-3233)、同裁判所はIMやByte Hostingの「業務の一時的(緊急)差止命令( temporary restraining order:TRO)」を12月2日付けで発した旨、FTCは12月10日付けでリリースした。
同時に、この一時差止命令に従わなかったことを理由とする1日あたり8,000ドル(約70万円)の罰金を科すという命令内容であった。
また、裁判所は同時に被害者たる消費者の被害金保護を留保することを目的として、同手口にかかるウクライナにあるとされる資産の凍結を命じた。(筆者注6)
FTCが申し立てた内容によると、被告は誤って正当な会社や団体に代りインターネット広告を行ってしまったと主張しているが、被告がバナー広告に挿入した隠しプログラミングにより、これらの広告がおかれたウェブサイトを開いた消費者は正当なサイトにはリンクできずに、代りに被告のウェブサイトから1つの搾取的な広告を受け取ったのである。そこでは消費者のコンピュータのセキュリティ上の問題を指摘し39.985ドル以上の被告の販売するセキュリティ・ソフトを買うようせき立てるのであるが、実際そのソフトによるウィルス・スキャンはまったく機能しなかった。
この時点でFTCの告訴対象者はこれら2社および個人であるスンディン、ジャイン、マルク・デスザ(Marc D’Souza)、クリスティ・ロス(Kristy Ross)およびジェームス・リノであった。告訴の根拠は消費者のコンピュータを検索スキャンしかつウィルス、スパイウェア、システムエラーやポルノ等各種のセキュリティやプライバシー保護の機能を持つという誤った表示を行った点でFTC法 (筆者注7)に違反したというものである。
なお、告訴では第6番目の被告モーリス・デスザ(Maurice D’Souza)を、不正資金保全のための不正資金保全のための「救済的被告(relief defendant) 」(筆者注8)として指名した。
以下、同裁判所の被告に対する差止命令等につき時間を追って記すが、メリーランド連邦地方裁判所の一時差止命令において、被告はいかなる形でのコンピュータ解析や消費者のコンピュータにおけるセキュリティやプライバシー問題の調査を行うといった誤った表現行為が禁止された。
また、第三者の同意なしに第三者に代り意図的な広告を行うという欺瞞または不完全な情報に関するドメイン名の使用が禁じられた。さらにウェブサイト・ネットワーク管理会社に対し、被告のウェブサイトに誤って呼び込まないよう、消費者が必要なステップをとるかたちでドメイン登録サービスを行うことを命じた。
(2)2009年3月、被告Marc D’SouzaはFTCの告訴はFTC法の要件を十分満たしていないがゆえに破棄されるべきであるという連邦民事裁判所規則(the Federal Rules of Civil Procedure)12条(b)6に基づく「簡易申立(instant motion)」を行ったが、同地裁から拒否された。(筆者注9)
(3)2009年6月25日、被告ジェームズ・リノとByteHosting社はFTCとの間で11万6,697ドル(約992万円)の和解が成立し、裁判所から以下の「条件付最終命令(stipulated final order)」が発せられた。FTCが申し立てた2人の被害総額は190万ドル(約1億6,150万円)であったが、被告は全額の支払い能力がないことを理由に11万6,697ドルの和解金となったものであり、もし被告の財政状態の説明に虚偽があれば、あらためて全額の支払が命じられることになる。
なお、本和解についてFTCの評決は4-0であったが、本和解は6月12日メリーランド連邦地方裁判所に係属されており、裁判所による承認が必要である。
本和解で明確化した内容は次の通りである。
①詐欺的スケアウェア広告戦術および消費者のコンピュータに不正プログラムをインストールすることを禁ずる。
②リノとByteHosting社は共同被告人との間で再度同じ業務を行うことを禁ずる。
(4) 2009年9月16日、メリーランド連邦地方裁判所は被告個人から出されていた最近時の連邦最高裁判決(2007年、2010年)に基づき、FTCの告訴は公訴事由が不十分とする公訴棄却申出を却下した。
(5)2010年2月24日、メリーランド連邦地方裁判所は被告であるビヨン・ダニエル・スンディン(Bjorn Daniel Sundin)および“Innovative Marketing ,Inc”に対する「恒久的差止命令および金銭支払判決にかかる欠席裁判判決(Default Judgement and Order For Permanent Injunction and Money Judgement )」および同判決が下された。
同判決の要旨は次のとおりである。
①金銭支払:1億6,316万7,539ドル95セント(約138億6,924万円)
②資産凍結命令:①のFTCヘの支払を担保するため凍結する。
③本判決の遵守のモニタリング:FTCのモニタリングや調査に関する遵守
④今後5年間FTCへの報告義務
(6) 2010年2月24日、同連邦地方裁判所は被告であるサイレスクマール・P・ジャイン(Shaileshkumar P. Jain)に対する「恒久的差止命令および金銭支払判決にかかる修正欠席裁判判決(Amended Default Judgement and Order For Permanent Injunction and Money Judgement )」が下された。
**************************************************************************************
(筆者注1) この説明は、わが国の「ウィキペディア」の「偽造セキュリティツール(scareware)」から引用した。本来であればわが国の情報処理推進機構(IPA)の定義を載せたいところであるが、まだ解説はない。わが国では直接的な被害がない。なお、ウィキペディアの説明を引用した理由としては、FBIや連邦司法省の手口の説明と近似しているという点もある。
(筆者注2) わが国でこのような手口(Scareware詐欺)の犯罪を罰する法律は現状あるのか。すなわち、1987年6月22日施行の刑法改正で追加された「電子計算機使用詐欺罪(刑法246条の2)」にいう「事務処理用コンピュータに虚偽の情報もしくは不正な指令を与えて財産権に関する虚偽の電磁的記録(データ)を作り,または虚偽のデータを人の事務処理に使用させることにより,違法な利益を得た場合,10年以下の懲役に処する行為に該当するか」、そうではなく刑法246条の詐欺罪にあたるのか、またはいずれにも該当しないのか、という問題である。
この点につき、わが国のサイバー法専門である明治大学の夏井教授は2009年10月20日付けの自身のブログで「スケアウェア詐欺(scareware scam)について、日本の刑法における詐欺罪では「財物」または「財産上の利益」の違法な取得が伴わないと詐欺罪が成立しない。しかし,フィッシング詐欺やスケアウェア詐欺では,「財物」でも「財産上の利益」でもなく,単なる「情報」が違法に取得される場合が圧倒的に多いので,詐欺罪とはならない。強いて言えば,事案により,不正アクセス罪または業務妨害罪等が成立することがあるだけだ。ここらへんは,日本のサイバー犯罪法制の最も重大な弱点となっているところであり,可及的速やかに新規立法または法改正がなされるべきだろうとずっと主張してきた。しかしながら,どうやらそのような立法や法改正等の可能性は非常に低いようだ。遺憾なことだと思う。」と記されている。
夏井教授の指摘が米国の犯罪手口の詳細な分析を踏まえたものかは不明であるが、わが国の立法論を論ずる前に、少なくとも本文でいう連邦現行法律集第18編第1030条(コンピュー詐欺及び不正利用防止罪)、第1343条(電子通信詐欺罪:Wire Fraud)との比較分析を行うべきであろう。従来から、米国ではこれらの類似犯罪の多くが被告の有罪答弁(plead guilty )を得ていることから、そのこれら法律の法適用面の有効性分析が前提となろう。
(筆者注3) “Money Mules”とはいかなる犯罪行為を言うのか。筆者(旧ペンネーム)のブログ(2005年11月6日)で簡単に取り上げている。より詳しいものとしてはトレンドマイクロ社、ITPRO等を参考にして欲しい。
(筆者注3-2) 電信送金( wire transfer/funds transfer )とは、一定の資金を受取人( beneficiary person〔自然人および法人〕)が別の金融機関で利用しうることを目的とする、送金人(originator person〔自然人および法人〕)のために、金融機関を通じて電子的手段で行われるあらゆる取引を指す。送金人と受取人は同一人である場合も含む。
(筆者注4) 2008年12月にFTCが裁判所に告発した際の情報では、被告が販売したscarewareの商品名はこの他にWinFixer ,WinAntivirus,DriveClean,ErrorSafe XP Antivirusがあげられている。
Last Updated:February 23,2021
4.各被告に対する起訴訴因と適用処罰および没収措置
スンディンおよびジャインに対しては、電子通信詐欺罪に関する24の訴因、またリノに対しては電子通信詐欺罪に関する12の訴因が適用され、全員に対してはコンピュー詐欺の共謀罪につき1つの訴因で告訴された。また、26の訴因にかかるコンピュータ詐欺に関する起訴は2010年5月26日シカゴ連邦地方裁判所大陪審に送付された。
この結果、有罪となれば被告は最高20年の拘禁刑および最高25万ドルの罰金刑が科されることになる。
また、連邦検事はウクライナに集められた違法な売上金1億ドルの没収を求めている。
5.シカゴ連邦地方裁判所に係属された本刑事事件の推移
(1)被告の欠席裁判
シカゴ連邦地方裁判所に係属された本刑事事件の被告の容疑に関し、連邦検事局は裁判所に対し2008年12月に連邦取引委員会がスケアウェア詐欺を行った被告に対してとった民事申立の大部分を繰り返した。
連邦判事はInnovative Marketing に対する法廷侮辱罪を支持し、また 告発された3人の被告は、不特定のウェブサイトに広告を掲載するため少なくとも無権限で7つの架空の広告代理店(“BurnAds”、“UniqAds”、“NetMediaGroup”、“ForeceUp”を含んでいる)を設置した。その広告代理店により約束された詐欺犠牲会社に対し少なくとも85,000ドルが未払いとなっている。その被害会社数は未確認である。
(2)2010年6月3日、リノ被告は「無罪の答弁」を行った。
Ⅱ.同サイバー犯罪グループに見る国際的な活動の実態とその背景
6月21日付けの「タイム」は次のような記事を独自の調査に基づき特集している。サイバー犯罪は世界中の一部のマニアックな犯罪グループというより、知的レベルが高くしかし就職機会が恵まれないウクライナ等を中心とする国際化が急速に拡がっていることは間違いない。また、以下述べるとおりこれらの犯罪捜査には世界中の警察・司法機構だけでなくマカフィー(McAfee)の例にみるとおり民間セキュリティ調査専門家の協力は欠かせない。その意味で、わが国のIPA等調査体制はいかがであろうか。
「世界的に見たサイバー犯罪とりわけスケアウェア詐欺は急増し、マカフィーによると2009年の増加率は400%増で2010年には最も犠牲が大きいオンライン詐欺と指摘している。すなわち1日あたり約100万台以上のコンピュータに感染させて3億ドル以上の不法なグローバル不正収益を得ると見込んでいる。
IMのキエフ事務所では数百人のプログラマー、翻訳者、データベース技術者がソフトウェア開発の世界的リーダー企業に育て上げた。億万ドルの収益を上げたことは窮迫している前ソ連邦における例外的な成功例といえるが、一方でその経営者は現在シカゴ連邦地方裁判所の被告となっている。
今回のFTCの告訴の例はサイバー犯罪に対するまれな勝利であった。サイバー犯罪はウクライナ等のように法執行体制が緩い国で活動する。
FTCによるとIMは2003年に“AntiVirus”、“DriveCleaner”等の名前で数百のアンチウイルス・ソフトを売り始めた。米国のナショナル・ホッケーリーグ、経済専門紙「エコノミスト」やメジャーリーグ・ベースボールの正当なウェブサイトに誤解を招く広告を置き、消費者に悪意のあるソフトを購入する前に偽のスキャンを自動的に機能させるというものであった。FTCは消費者から1000以上の苦情を受け世界中に設置しているダミー会社(shell companies)を通じて容疑者の追跡・調査に乗り出した。
このような中でドイツ・マカフィーの研究者Dirk Kollberg氏は、2008年にIMの広告のいくつかにおいてユーザーの同意なしに自動的にソフトをダウンロードしていることを発見した後、捜査は大きく発展した。驚くべきことにIMのサーバーはパスワードによって保護されていなかったため、保有情報は広く部外者によるアクセスが可能であった。その結果、IMの社内データはKollbergによるIMの内部構造や製品についての洞察を可能にした。
Kollbergは、スマートなロゴと顧客ケア用のホットラインの裏でIMは極めて大規模に偽のアンチウイルス・ソフトを製造、販売していた情報を得た。同社のサーバーから得られたデータに基づきKollbergは2008年単年度で1億8,000万ドルを違法に得ていたと見込んだ。このことはFTCが告訴に踏み込むのに大いに貢献した。
スケアウェア業界を破壊させるという試みは、弱い規制立法、取締り効果が薄い法執行体制および堕落した役人のいる国で機能することで身動きできなくなる。
しかし、ウクライナはゆっくりではあるが、サイバー犯罪と戦う必要性に目覚めつつある。
ウクライナ内務省は2009年に「反サイバー犯罪」捜査部隊を設置、リーダーのルスラン・パホーモフ(Ruslan Pakhomov)は苦しい戦いを行っていると述べている。
「すなわち極めて重要な調査資源や裁判官や検察官が取り扱い事件を有罪に持ち込むために必要な知識に欠いている。
また1か月あたりの平均賃金がわずか200ドル(約17,400円)であるウクライナでは、たとえスケアウェア製造会社であっても若いコンピュータエンジニアは仕事に就くため行列を作っている。多くの有能で十分に教育を受けたプログラマーは多くいるが仕事は十分にない。彼らは自分の腕を振るう場を探している」と述べている。
なお、IMは2009年に閉鎖したしたが、内務省は別の場所で業務を行っているかも知れないと述べている。Kollbergは誰が裏にいるかを特定するのは困難であるが、スケアウェア詐欺は依然多くが行われており、その理由として「あなたは企業があって数億円稼ぐなら、あなたはそれをあきらめるでしょうか」と指摘している。
Ⅲ.連邦取引委員会の取組み
連邦取引委員会(FTC)は、違法詐欺の被害者急増を阻止すべく連邦地方裁判所へ次の一時差止命令の申立告訴を行い判決が下された。
(1)2008年12月2日、1,000以上の消費者からの苦情に基づき、FTCは被告の告訴につき委員会評決を行い、その結果が4-0であったことを受け同日付けでメリーランド州連邦地方裁判所に「業務の一方的一時的(緊急)差止命令(Ex Parte (エキソパルティ)temporary restraining order:Ex Parte (筆者注5) TRO)」を告訴した。(事件番号08-3233)、同裁判所はIMやByte Hostingの「業務の一時的(緊急)差止命令( temporary restraining order:TRO)」を12月2日付けで発した旨、FTCは12月10日付けでリリースした。
同時に、この一時差止命令に従わなかったことを理由とする1日あたり8,000ドル(約70万円)の罰金を科すという命令内容であった。
また、裁判所は同時に被害者たる消費者の被害金保護を留保することを目的として、同手口にかかるウクライナにあるとされる資産の凍結を命じた。(筆者注6)
FTCが申し立てた内容によると、被告は誤って正当な会社や団体に代りインターネット広告を行ってしまったと主張しているが、被告がバナー広告に挿入した隠しプログラミングにより、これらの広告がおかれたウェブサイトを開いた消費者は正当なサイトにはリンクできずに、代りに被告のウェブサイトから1つの搾取的な広告を受け取ったのである。そこでは消費者のコンピュータのセキュリティ上の問題を指摘し39.985ドル以上の被告の販売するセキュリティ・ソフトを買うようせき立てるのであるが、実際そのソフトによるウィルス・スキャンはまったく機能しなかった。
この時点でFTCの告訴対象者はこれら2社および個人であるスンディン、ジャイン、マルク・デスザ(Marc D’Souza)、クリスティ・ロス(Kristy Ross)およびジェームス・リノであった。告訴の根拠は消費者のコンピュータを検索スキャンしかつウィルス、スパイウェア、システムエラーやポルノ等各種のセキュリティやプライバシー保護の機能を持つという誤った表示を行った点でFTC法 (筆者注7)に違反したというものである。
なお、告訴では第6番目の被告モーリス・デスザ(Maurice D’Souza)を、不正資金保全のための不正資金保全のための「救済的被告(relief defendant) 」(筆者注8)として指名した。
以下、同裁判所の被告に対する差止命令等につき時間を追って記すが、メリーランド連邦地方裁判所の一時差止命令において、被告はいかなる形でのコンピュータ解析や消費者のコンピュータにおけるセキュリティやプライバシー問題の調査を行うといった誤った表現行為が禁止された。
また、第三者の同意なしに第三者に代り意図的な広告を行うという欺瞞または不完全な情報に関するドメイン名の使用が禁じられた。さらにウェブサイト・ネットワーク管理会社に対し、被告のウェブサイトに誤って呼び込まないよう、消費者が必要なステップをとるかたちでドメイン登録サービスを行うことを命じた。
(2)2009年3月、被告Marc D’SouzaはFTCの告訴はFTC法の要件を十分満たしていないがゆえに破棄されるべきであるという連邦民事裁判所規則(the Federal Rules of Civil Procedure)12条(b)6に基づく「簡易申立(instant motion)」を行ったが、同地裁から拒否された。(筆者注9)
(3)2009年6月25日、被告ジェームズ・リノとByteHosting社はFTCとの間で11万6,697ドル(約992万円)の和解が成立し、裁判所から以下の「条件付最終命令(stipulated final order)」が発せられた。FTCが申し立てた2人の被害総額は190万ドル(約1億6,150万円)であったが、被告は全額の支払い能力がないことを理由に11万6,697ドルの和解金となったものであり、もし被告の財政状態の説明に虚偽があれば、あらためて全額の支払が命じられることになる。
なお、本和解についてFTCの評決は4-0であったが、本和解は6月12日メリーランド連邦地方裁判所に係属されており、裁判所による承認が必要である。
本和解で明確化した内容は次の通りである。
①詐欺的スケアウェア広告戦術および消費者のコンピュータに不正プログラムをインストールすることを禁ずる。
②リノとByteHosting社は共同被告人との間で再度同じ業務を行うことを禁ずる。
(4) 2009年9月16日、メリーランド連邦地方裁判所は被告個人から出されていた最近時の連邦最高裁判決(2007年、2010年)に基づき、FTCの告訴は公訴事由が不十分とする公訴棄却申出を却下した。
(5)2010年2月24日、メリーランド連邦地方裁判所は被告であるビヨン・ダニエル・スンディン(Bjorn Daniel Sundin)および“Innovative Marketing ,Inc”に対する「恒久的差止命令および金銭支払判決にかかる欠席裁判判決(Default Judgement and Order For Permanent Injunction and Money Judgement )」および同判決が下された。
同判決の要旨は次のとおりである。
①金銭支払:1億6,316万7,539ドル95セント(約138億6,924万円)
②資産凍結命令:①のFTCヘの支払を担保するため凍結する。
③本判決の遵守のモニタリング:FTCのモニタリングや調査に関する遵守
④今後5年間FTCへの報告義務
(6) 2010年2月24日、同連邦地方裁判所は被告であるサイレスクマール・P・ジャイン(Shaileshkumar P. Jain)に対する「恒久的差止命令および金銭支払判決にかかる修正欠席裁判判決(Amended Default Judgement and Order For Permanent Injunction and Money Judgement )」が下された。
[参照URL]
・2010年5月27日、連邦司法省のscareware詐欺被告の起訴時リリース
https://archives.fbi.gov/archives/chicago/press-releases/2010/cg052710-1.htm
・Bjorn Daniel Sundin事件の起訴状原本
http://lastwatchdog.com/wp/wp-content/uploads/100527_Reno_indictment.pdf
・連邦取引委員会(FTC)によるメリーランド連邦地方裁判所への一時差止命令
http://www.ftc.gov/os/caselist/0723137/081203innovativemrktgtro.pdf
・メリーランド連邦地方裁判所の「恒久的差止命令および金銭支払判決にかかる欠席裁判判決
http://www.ftc.gov/os/caselist/0723137/100224sundinjudgement.pdf
・欧州評議会(Council of Europe:CE)の「サイバー犯罪に関する条約(Convention on Cybercrime)」の解説(外務省)
http://www.mofa.go.jp/mofaj/gaiko/treaty/pdfs/treaty159_4b.pdf
・ワシントン州「2005年改正スパイエア取締法(Chapter 19.270 RCW Consumer Spyware Act)原本
http://www.leg.wa.gov/pub/billinfo/2005-06/Htm/bills/House%20Passed%20Legislature/1012-S.PL.htm
・同州「不公正なビジネスに実践に関する消費者保護法(Chapte 19.86 RCW, Unfair Business Practices-Consumer Protection Act)」
http://apps.leg.wa.gov/rcw/default.aspx?cite=19.86
・欧州評議会(CE)主催のカンファレンス「Octopus Interface Conference 2010」
http://www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/cy-activity-interface-2010/interface2010_en.asp
・INHOPEの違法コンテンツを「拒否」している国を緑色に塗っている地図(Countries Saying No to Illegal Content)。
http://www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/cy-activity-Interface-2010/Presentations/Ws%204/Ruben%20Rodriguez_Inhope_ws4.pdf
・米国連邦司法省のブログ(2010年6月1日付け)「米国と海外の法執行機関が協力してマス・マーケティング詐欺に取組む」
http://blogs.usdoj.gov/blog/archives/820
***************************************************************
Copyright © 2006-2010 芦田勝(Masaru Ashida).All Rights Reserved.No reduction or republication without permission
※コメント投稿者のブログIDはブログ作成者のみに通知されます