本名インフェアニ・エケ(Ifeanyi Eke)は、この詐欺犯罪計画において監督的役割を果たし、ニューヨークの国連本部を含む35人の犠牲者に対して約270万ドル(約2億9,160万円)の損失をもたらした。
2021年4月13日(火)、ニューヨーク南部地区のオードリー・シュトラウス(Audrey Strauss)連邦検事は、ナイジェリア人であるインフェアニ・エケ(Infeanyi Eke: 別名:ルーサー・マルバ・ドーリー:Luther Mulbah Doley)が4月13日に有罪となり、広範囲にわたる国際的な電子メール詐欺(BEC) (筆者注1)シンジケートの一環として刑罰が宣告(筆者注2)された旨発表した。
Audrey Strauss 氏
今回のブログは、(1)2016年ころから話題となり、また急速に増加している「ビジネス電子メール詐欺(Business Email Compromise )計画」の実態をFBIのリリース内容にもとづき解説するとともに、(2)英国IT専門メディア”The Register”等の記事等に基づき起訴や裁判内容を明らかにし、さらに(3)その被害を阻止するための具体的施策について緊急提言を行うものである。
1.FBIのリリース概要
シュトラウス連邦検事は、「被告が本日認めたように、イフェアニ・エケは300万ドル近くを数十人の犠牲者からだまし取った国際的な詐欺陰謀において重要な役割を果たした。当然のことながら、エケは、有罪(40カ月の拘禁刑、365,205ドル(約3944万円)を没収、さらに2,691,908.30ドル(約2億9073万円)の被害者に対する払い戻し)等を宣告された」と述べた。
Ifeanyi Eke 被告
起訴状および検事局の申し立てによると、他の裁判所の提出、および裁判所の手続き中に行われた声明に基づく申し立て内容は概要、以下のとおりである。
(1) 2016年頃から2018年7月にかけて、エケと共同被告たるシリル・アシュ(Cyril Ashu)、ジョシュア・イケジンバ(Joshua Ikejimba,)、チネドゥ・アイユア(Chinedu Ironuah)を含む彼の共謀者は、米国内外の数十人の犠牲者をハッキングしてシンジケートが管理する銀行口座に数百万ドルを送金する詐欺的なBEC計画を実行した。
この詐欺計画は、被害者がすでに知っておりかつ信頼していた相手からのものであるといつわり、被害者が実際に被告やこの計画に関与した他の人によって管理されている口座に資金を送るように被害者に不正に指示する送金指示を含む「なりすまし」Eメールを被害者に送ることによって行われた。
エケは、この詐欺計画において幅広い役割を果たした。すなわち、このスキームの一環として、エケは個人的に彼が開設し、制御しうる銀行口座のいくつかの異なる被害者から詐欺収益を得るため電信送金を受け取った。
(2) 犠牲者の一人である、ニューヨークに本部を置く政府間組織(国連:United Nations) (筆者注3)は、エケの銀行口座に188,815ドル(約2,039万円)を送金するよう騙された。詐欺の収益を受け取った後、エケは彼自身の使用と彼の共謀者へのs資金の配布の両方のためにそれらを引出し、転送した。エケは被害者から得た資金を直接受け取り、共謀者にばらまくことに加えて、共謀者の口座に詐欺収益を受け取るように手配し、被害者の電子メールに含まれる電信送金情報を受け取って伝達し、詐欺収益を表す小切手(キャッシャーズ・チェック:casher’s check)の取得と預け入れの調整を含む陰謀の他のメンバーを管理、監督した。合計で、エケは約270万ドル(約2億9,160万円 )、35人の犠牲者に対する実際の損失の責めを問われたのである。
(3) ジョージア州サンディスプリングスの住民であるエケ(34歳)は有罪答弁を行い、米国合衆国法典第18編第1349条に違反して、電信詐欺を犯した陰謀の1訴因で有罪を宣告され、判決を受けた。その結果40カ月の拘禁刑期に加えてエケは3年間の監視付釈放(supervised release) (筆者注4)を宣告された。さらにエケは365,205ドル(約3,944万円)を没収され、2,691,908.30ドル(約2億9,073万円)の被害者に対する賠償金の支払い(pay restitution)を命じられた。
2.エケを中心とする詐欺シンジケートの計画・手口.
人々が財産の相続人のふりをして、被害者に資金にアクセスするためにお金を送ってもらうためのさまざまな方法を考案した悪名高いナイジェリアの電子メール詐欺とは対照的に、エケと他の3人のナイジェリア(シリル・アシュ、ジョシュア・イケジンバ、チネドゥ・アイユア)の共謀者によって実行された詐欺は、はるかに洗練されていると検事局の起訴状は述べている。
まず、(1)彼らは大規模な企業組織をターゲットにして被害者を調査・探しだし、ターゲットがすでにビジネス関係にあるビジネスに特定の会社を設立した。次に、(2)偽の電子メールアドレスを介して偽の請求書を送信し、同じ名前で設定された本物のアカウントにリンクする送金の詳細を送った。
その後、当該資金はキャッシャーズ・チェック(casher’s check)(筆者注5) の形で引き出され、詐欺師はさらに先に進んだ。信じられないことに、最大の1回あたりの送金額は、彼らがニューヨーク国連本部から得た188,815ドル(約2,039万円)であった。2年間、4人の男性は検出を回避するために17以上の別名を使用し、35の異なるグループから270万ドルを得ることができた。これは、毎回平均77,000ドル強であった。
エケの弁護士は、他の共犯者に無意識のうちに詐欺に巻き込まれたのであり、エケがアシュとアイロヌアに精通するにつれて、彼は2人が金儲けの計画に関与していることを知り、参加する機会が与えられた。少しで米国にきて間もないエケは、アシュの地下室に住んでいて、陰謀に加わることを決心した」と裁判において主張した。
エケの弁護士は、エケが1つの別名(aliases)しか使用しておらず、彼が「特に洗練されていない犯罪の参加者」であるという証拠として、彼が自分の名前で開いたいくつかのアカウントを使用したという事実は、寛大に扱われるべきであるとさえ主張した。
さらに、弁護士は「エケ氏は詐欺計画への参加の責任を受け入れる用意があるが、彼は内部紛争を経験せずに参加しなかった」と主張した。
どうやらエケは国連から盗まれた188,000ドルに腹を立てていたので、3日間小切手を現金化できなかった。 「エケの倫理的懸念は、物質的な成功への欲求によって和らげられ、克服された」と彼の弁護士は説明した。
FBIは特にエケ被告に同情的ではなく、エケは故意に数え切れないほどの詐欺に関与しただけでなく、いくつかの詐欺を監督したと主張した。連邦検事オードリー・シュトラウスは 「被害者の資金を直接受け取って消散させることに加えて、エケ被告は、共謀者のアカウントが詐欺の収益を受け取るように手配したり、被害者の電子メールに含まれる電信送金情報を受け取って伝達したり、買収を調整したり、詐欺の収益を表す小切手の預け入れるなど、陰謀の他のメンバーを管理および監督した」と述べた。「合計で、Ekeは合計約270万ドルの35人の犠牲者の実際の損失に責任がある」と主張したのである。
3.BEC詐欺手口の特徴とその被害阻止策
FBIがBusiness Email Compromise(BEC)について専門サイトで詳しく解説している。以下で、その主要部を抜粋、仮訳する。
(1)犯罪者がBEC詐欺を実行する方法
詐欺師は次のことを行う可能性がある。
①電子メールアカウントまたはWebサイトでのなりすまし行為
正当なアドレスとの微妙なスペルの違い(例:john.kelly@examplecompany.comとjohn.kelley@examplecompany.com)は、被害者を騙して偽のアカウントが本物であると思い込ませる。
②スピア・フィッシング・メール(特定の組織や人物を狙って偽のEメールを送信し、個人情報を収集する標的型フィッシング攻撃のためのメール)を送信する。 これらのメッセージは、被害者をだまして機密情報を漏らしてしまうように、一見信頼できる送信者からのメッセージのように見える。その情報により、犯罪者は会社のアカウント、カレンダー、およびBEC計画を実行するために必要な詳細を提供するデータにアクセスできるようになる。
③マルウェアを使用する。
悪意のあるソフトウェアが企業ネットワークに侵入し、請求書(billing)や明細付請求書(invoices)に関する正当な電子メール・スレッド(e-mail threds) (筆者注6)にアクセスする可能性がある。その情報は、会計士や財務担当者が支払い要求に質問されなおように、要求の時間を計ったりメッセージを送信したりするために使用される。またマルウェアは、犯罪者がパスワードや金融口座情報などの被害者のデータに検出されずにアクセスできるように仕向ける。
(2)BEC被害にあわないための施策
① オンラインまたはソーシャルメディアでお互いが共有する情報に注意すること。ペットの名前、通った学校、家族へのリンク、誕生日などをオープンに共有することは、詐欺師がパスワードを推測したり、セキュリティ保護用の質問に答えたりするために必要なすべての情報を提供することにつながる。
② アカウント情報の更新または確認を求める迷惑メールやテキストメッセージの内容を安易にクリックしないこと。
つまり、相手の会社の電話番号を自分で調べ(潜在的な詐欺師が提供している電話番号は使用しないこと)、また会社に電話して要求が正当かどうかを必ず尋ねること。 通信で使用されている電子メールアドレス、URL、およびスペルを注意深く調べること。詐欺師はわずかスペルの違いを利用して被害者の目を騙し、信頼を得る。
③ ダウンロードする際に十分注意すること。知らない人からの電子メールの添付ファイルを絶対に開かないこと。また、電子メールの添付ファイルが転送されることに注意すること。
④ それを許可するアカウントに二要素(または多要素)認証を設定し、その設定を無効にしないこと。
⑤ 可能であれば、支払いと購入のリクエストを直接確認するか、その人に電話して正当なものであることを確認する。アカウント番号や支払い手続きの変更は、リクエストを行った人に直接確認する必要がある。
⑥ 要求者が迅速に行動するようにあなたに堰かせるなど圧力をかけている場合は、特に注意すべきである。
***************************************************************************
(筆者注1) BECについては、2013年ころからセキュリティ関連機関から警告がてている。
2016年6月16日のTrend Microはそのブログ「多額の損失をもたらすビジネスメール詐欺「BEC」」で以下のとおり述べている。
「米連邦捜査局(FBI)による最新の統計では、2013年10月から2016年6月における「Business Email Compromise(BEC、ビジネスメール詐欺)」の活動による被害総額は約31億米ドル(約3245億円。2016年6月17日現在)に達し、世界中で約2万2千の企業へ被害が及んでいます。
2015年8月に公表された米連邦捜査局(FBI)と米国インターネット犯罪苦情センター(IC3)の情報では、ビジネスメール詐欺は 2013 年 10月頃から確認されており、2015 年 8 月までの被害総額はおよそ 8 億米ドル(約 875 億円。2016年5月25日の時点)で1300パーセントの増加を示し、一被害者あたりの被害額はおよそ14万米ドル(約 1465 万円、2016年6月17日の時点)に及ぶとしています。・・・・・・」
(筆者注2) U.S. District Court for the Southern District of New Yorkの判決原文は連邦政府の事前登録サイト(Public Access to Court Electronic Records (PACER))でも調べられるが、一部有料情報やアカウント作成に多少手間がかかるため、無料のサイト”Judicial Caselaw”でも閲覧は可である。エケ被告に対する判決文全文のURLは「https://judicialcaselaw.com/courts/nysd/cases/1_19-cr-00318-JMF/127128909987?page=1」である。8回クリックする必要があるが、全文が読める。
なお、PACERへのアカウント登録手続きは米国国籍住民である必要はなく、筆者もすでにアカウントをもっている。登録手続上の留意点を補足する。
必須項目の*につき州の選択の前にcountry「japan」を選ぶこと、現住所、電話番号、メールアドレス等で登録できる。申込者の連邦の裁判区の質問が*であるがUser TypeをAttorneyを選べば問題ない。
登録の途中でクレジットカード情報の登録画面があるが、一部有料情報を利用しない限り登録は不要である。そのまま次に進んでよい。登録が終わるとメールアドレス宛に「Account Number」、「Usrname」、「Account Balance」等の通知が届くが、7~10営業日以内にPACERからU.S.PSTAGEでactive化通知が届いたら、その中の”authentication token”を入力したら判決文等のログインが初めて可能となる。
(筆者注3) 起訴状には被害者の1人として”intergovernmental organisation headquarted in new York”と書いてあるのみである。しかし、英国のmedia "The Register"が記事で書いているとおり、国連を意味するようである。
(筆者注4) キャシャーズ・チェック(cashier's check)は”personal check”とは別物で、実際に銀行に出向いて、その支払い額がきちんと口座に入っていることを前提(銀行の係員が確認して発行)とする小切手の作成方法です。
下記見本はKeisuke Takemoto氏のブログ(https://intercom.help/mkt-homes/en/articles/2637961-cashier-s-check%E3%81%A8%E3%81%AF%E4%BD%95%E3%81%A7%E3%81%99%E3%81%8B)から引用
例えば車とかで100万を超える買い物をする時に、personal checkをもらったけど口座にその金額が入っていなかった、というリスクを回避できるので、大金(1,000ドル)の支払いの場合はcashier's checkを求められる場合が多いです。
cashier's checkを作るためには直接銀行にいく必要があります。
銀行員にcashier's checkを作りたいというと紙をもらえるので、そこに自分の名前、支払う相手の名前、日付、金額(小数点以下ももしあれば記入)、
金額を横文字で記入したもの($100だったら、 one thousand dollarsと記入)、自分のサインを記入します。
それと合わせて自分のIDと銀行のacount numberを提示すると、銀行員がそれを確認して正式なcashier's checkを発行してくれます。一つは自分の控え、もう一つは支払い先に渡すチェックです。(ブログから一部抜粋)。
(筆者注5) 監督付釈放Supervised Release)につき米国の連邦では1984年の量刑改革法によってパロールが廃止され,量刑ガイドラインによる定期刑制度が実施されており,連邦の監督付釈放は,拘禁期間とは別に量刑の際に定められる裁判所の決定に基づく釈放後の社会内処遇である。
・監督付釈放の一条件として,一部対象者に,中間処遇施設における処遇を実
施する代わりの措置として,外出禁止等の管理目的で電子監視機器による位置
情報等確認が行われることがある。法務省・寺村堅志「6. 米国」(法務総合研究所研究部報告44号163頁以下)(http://www.moj.go.jp/content/000098494.pdf)から一部抜粋。
量刑ガイドラインUSSC 5F1.1.は、「社会内拘禁(Community Confinement)は、保護観察又は仮釈放(supervised release)の条件として課すことができる。」と規定する。
連邦法典 18 編 3624 条(c)(18 U.S. Code § 3624 - Release of a prisoner
「矯正局は、その実行が可能である限り、6 月を超えない範囲で、拘禁刑の刑期の最後の 10%にあたる期間の相当な部分を、受刑者が地域社会への復帰に適応し、それに備える相当な機会を与える環境の下で、処遇しなければならない。」(1990 年改正により追加。全受刑者に適用される)
さらに、連邦規則(CFR) 28 編 570.20 条及び 570.21 条を参照。 (「社会奉仕を義務付ける制度等に関する報告(アメリカ合衆国)」~一部抜粋)
なお、各リンクは筆者の責任で行った。
(筆者注6) スレッドとは、メールが件名ごとにグループ分けされている表示方法をいう。
1つのメールに対する返信や転送など、関連するメールのやりとりが1つのスレッドとしてまとめられる。スレッド機能が有効になっていると、同じ話題に関するメールのやり取りを1つのスレッドにまとめて表示することになる。
**********************************************************************************:
【DONATE(ご寄付)のお願い】
本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。
◆みずほ銀行 船橋支店(店番号 282)
◆普通預金 1631308
◆アシダ マサル
◆メールアドレス:mashida9.jp@gmail.com
【本ブログのブログとしての特性】
1.100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。
2.本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。
このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。
3.上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。
このような経験を踏まえデータの入手日から最短で1~2日以内にアップすることが可能となった。
なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。
本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。
4.他にない本ブログの特性:すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。
その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。
他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。
5.内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。
【有料会員制の検討】
関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。
Civilian Watchdog in Japan & Financial and Social System of Information Security 代表
**********************************************************************************************************************
Copyright©2006-2021芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます