米司法省は、Capital Oneのハッキングと1億人超の米国人の個人情報を盗んだとして起訴された元Amazon Web Services(AWS)のエンジニアPaige Thompson(ペイジ・トンプソン)被告を、新たに7つの罪で起訴した。
関連記事:米金融大手キャピタル・ワンで1億人の個人データが流出
6件のコンピューター不正行為と1件のアクセスデバイス詐欺は、2021年6月初めに提出された裁判資料で明らかになった。その資料をThe Recordが入手した。以前は通信詐欺とコンピューター犯罪で起訴していた。これにより被告は懲役最長5年と罰金最大25万ドル(約2800万円)が科される可能性があったが、追加の起訴により、被告は現在、最長20年の懲役刑に直面している。
2019年の起訴状で4社だった被害企業の数が、取って代わる起訴状では8社に増えた。Capital One、米国の州機関、米国の公立研究大学、国際的な通信コングロマリットに加え、新たなリストにはデータ脅威保護企業、デジタル著作権管理(DRM)を専門とする組織、高等教育学習テクノロジーのプロバイダー、コールセンターソリューションのサプライヤーが含まれる。企業名は明らかにされていないが、セキュリティ会社CyberIntは以前、Vodafone、Ford、ミシガン州立大学、オハイオ州運輸局が情報漏洩の被害を受けたかもしれない、と述べた。
ハンドルネーム「erratic」を名乗り、GitHubでハッキングを自慢して特定されたトンプソン被告は、クラウドコンピューティング会社(起訴状では社名を明らかにしていないが、Amazon Web Servicesだと判明した)のどの顧客がファイヤーウォールを設定ミスしているかを特定したプログラムを作成するのに、Amazonでソフトウェアエンジニアとして働いた際の知識を使ったとされている。そのツールが設定ミスを発見すると、トンプソン被告は特別なアカウントクレデンシャルを抜き出すためにそれを悪用した。
以前の起訴状では、盗んだクレデンシャルを使って被害者のクラウドインフラへのアクセスを得ると、被告はアクセスしてデータをシアトルの自身の住まいにあるサーバーにダウンロードした、と主張している。不正に得た情報がサードパーティの手に渡ったかどうかは依然不明だ。
2019年7月に確認されたCapital One情報漏洩の場合、盗まれたデータは名前、住所、電話番号、生年月日を含む1億600件ものクレジットカードの申し込み、14万の社会保障番号、8万の銀行口座番号、クレジットスコア、決済データなどだった。この事件発覚の4カ月後にサイバーセキュリティ責任者を替えたCapital Oneは、セキュリティ侵害とユーザーの財務データの保護を怠ったとして2020年8月に罰金8000万ドル(約89億円)が科された。
検察はまた、トンプソン被告が同じクラウドプロバイダーを使った少なくとも30社からデータを盗んでコピーしたと申し立て、いくつかのケースでは被告が被害者のクラウドコンピューティングパワーを使って暗号資産マイニングオペレーションを行うために(クリプトジャッキングとして知られるプラクティスだ)このアクセスを使ったと主張している。
トンプソン被告は無罪を主張し、保証金を納付して2019年8月に釈放された。当初、裁判は2019年11月に行われる予定だったが、検察当局が分析する必要があった情報が膨大だったため、2020年3月に延期された。
裁判は後にパンデミックのために2020年10月、さらに2021年7月、2021年10月へとたびたび延期され、検察当局がトンプソン被告のデバイスから集めたデータを分析するのにまだ時間を要するとして現在は2022年3月14日が予定されている。
関連記事
・ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収
・ドラッグのマーケットプレイスSilk Roadから押収された100億円相当のビットコインは米政府ものに
・米司法省がロシア人ハッカーグループを起訴、ウクライナ停電事件とランサムウェアNotPetya関与の疑い
カテゴリー:セキュリティ
タグ:ハッキング、米司法省、裁判、Capital One、個人情報
画像クレジット:Getty Images
[原文へ]
(文:Carly Page、翻訳:Nariko Mizoguchi)