米国の司法当局は2011年3月ごろには、Seleznev受刑者を逮捕する寸前にまでに達していた。Seleznev受刑者は、「Pacer Case Locator」という米国の裁判所が提供しているWebサービスで自身の名前を頻繁に検索して自身に対する逮捕状が発行されていないか確認するなど、米国政府を警戒していた。そのためSeleznev受刑者は、米国に入国することはなかったが、代わりに世界中のリゾート地を旅していた。米国政府はロシア国外で、Seleznev受刑者の身柄を拘束する準備を始めていた。

 ところが2011年4月、Seleznev受刑者はモロッコへの旅行中にテロ事件に遭遇し大ケガを負ってしまう。それ以降、Seleznev受刑者はロシアからの出国を控えるようになったため、この時点での逮捕はお預けとなった。

 冒頭でも紹介したように、米国政府がSeleznev受刑者の身柄をモルディブで拘束したのは2014年のことだ。2013年ごろから、ケガから回復したSeleznev受刑者がロシア国外への旅行を再開するようになっていたため、米国の司法当局はSeleznev受刑者の追跡を再開していたのだ。米国での報道によれば、米国政府は「超法規的な手段」でSeleznev受刑者の身柄を拘束したため、ロシア政府は米国政府の行為を「誘拐」と批判しているという。

メールと同じパスワードをログオンにも使用

 逮捕されたSeleznev受刑者があっけなく有罪となったのは、Seleznev受刑者が持ち歩いていたパソコンやスマートフォンには、3700社もの金融機関が発行した170万件のクレジットカード番号という「証拠」が残されていたためだ。こうした証拠をパソコンやスマホから司法当局が取り出す際に役立ったのが、Seleznev受刑者が電子メールや様々なオンラインサービスで利用していたユーザー名やパスワードだった。

 実はSeleznev受刑者は、様々なオンラインサービスで「OCHKO123」というパスワードを使い回していた。それだけでなく、Seleznev受刑者はパソコンやスマホのパスワードにも「OCHKO123」を使い回していた。そのためSeleznev受刑者のパソコンやスマホの調査(フォレンジック)は、非常にスムーズに進んだ。

 「ハッキング帝国を維持するために『OCHKO123』というパスワードを使い回してはならない」。Black Hatで講演したBarbosa氏はそう指摘する。罪無き人々のセキュリティ対策の不備を突いては不法に金銭を稼いでいた犯罪者が、自らのセキュリティ対策の不備を突かれて有罪となったのは、皮肉なことである。