米国の司法当局が、「Track2」と「Bulba」が同一人物であることに気づいたのは、2010年のことだ。米アイダホ州のレストランにあるPOSシステムにマルウエアが仕掛けられ、大量のカード番号が盗まれた事件がきっかけだった。司法当局がPOSシステムを調査したところ、POSシステムに仕掛けられたマルウエアが、インターネット上の二つのサーバーと通信していたことが分かった。

 サーバーの一つは「Track2.name」というドメインで、もう一つのサーバーは「Bulba.cc」というドメインだった。このことから司法当局は、「Track2」と「Bulba」が同一人物だと推測するようになったという。

ドメイン登録情報などから電子メールを割り出す

 司法当局は「Track2」と「Bulba」が使用するサーバーの情報などから、Seleznev受刑者の「犯罪ITインフラストラクチャー」を解明していった(写真1)。2010年以降、米国では相次いでマルウエアに感染したことによってカード番号が大量に盗まれたPOSシステムが見つかったが、マルウエアがカード情報を送信するIPアドレスが同一であるケースが出てきたためだ。

写真1●Seleznev受刑者の犯罪ITインフラストラクチャー
[画像のクリックで拡大表示]

 POSシステムにマルウエアを仕掛けたサーバーや、マルウエアがカード情報を送信したサーバーのIPアドレスからは、「Track2」と「Bulba」が使用するレンタルサーバーの事業者や、ドメイン登録事業者が判明していった。それらの情報から、「Track2」と「Bulba」がドメイン登録の際に使用していた電子メールアドレスなども判明した。「Track2」と「Bulba」は米Yahoo!(当時)の無料電子メールサービスを使っていた。

犯罪に使っていたサーバーで航空券予約

 Seleznev受刑者は興味深いことに、犯罪に利用していたYahooの電子メールアドレスをほかの用途にも使用していた。その一つが「PayPal」だ。PayPalを使って金銭をやり取りするためだったもようだ。PayPalとやり取りした電子メールから、Seleznev受刑者の氏名や住所なども分かった。Seleznev受刑者は電子メールという暗号化されていない通信手段で、アカウントのパスワードを含む様々な情報をやり取りしていたため、米司法当局にその内容を解明されたもようだ(写真2)。

写真2●Seleznev受刑者の電子メール情報
[画像のクリックで拡大表示]

 もう一つ興味深いことに、Seleznev受刑者は犯罪に利用していたレンタルサーバーを、個人的な作業にも使用していた。例えば、Seleznev受刑者がインドネシアに保有していたセカンドホームに向かうための航空券の予約に、そのサーバーを使っていたという。米司法当局はサーバーの通信などを分析することで、Seleznev受刑者のパスポート番号や顔写真まで割り出した。