8月5日、4,000万件以上もの大量のクレジットカードとデビットカード番号の盗難および販売で、連邦検察は国際的な犯罪グループを起訴している。被告は、マイアミ在住のALBERT "SEGVEC" GONZALEZ、ウクライナのMAKSYM "MAKSIK" YASTREMSKIY、エストニアのALEKSANDR "JOHNNY HELL"、中国のHUNG-MING CHIU、ZHI ZHI WANGなど11人だ。 起訴に際して、司法省が発表したプレスリリースによると、GONZALEZなどは、米国ディスカウント小売チェーン大手、TJXに関する情報漏えい事件などに関わっていたようだ。TJXはTJ MAXX、MARSHALLSなどを運営する企業で、2007年1月に何者かがシステムに侵入して、クレジットカード番号などのデータを不正に取得したことが明らかになった。TJXはカナダや英国にも店舗を持っているので、これらの国でも被害が報告されている。 システムの侵入がわかったのは2006年12月だが、盗まれたデータの古いものは2003年まで遡る。当初、2006年5月から2007年1月の間に侵入を受けたとみられていたが、その後の捜査で2005年7月にも侵入されていることが分かった。つまり1年半近くもの間、情報が漏れていた。 データは実際に悪用されていて、2006年11月には総額800万ドル相当のギフトカードの被害が確認されている。個人情報盗難の被害件数については、2007年1月の報道では4,570万件のクレジットカードとデビットカード、および返品記録に関するデータが45万5,000件だったが、その後、さらに4,800万人が被害を受けたことがわかり、合計9,400万件という史上最悪の事件となっている。 しかし、犯罪グループが関わっていたのは、TJXのケースだけではない。大手書籍店のBARNES & NOBLES、米国東部を中心に会員制の倉庫店、BJ'S WHOLESALE CLUB、フロリダ州に本拠を置く、スポーツ用品専門店のチェーン店、SPORTS AUTHORITY、文具、オフィス用品の大手、OFFICEMAX、カジュアルレストランのチェーン、BOSTONMARKET、若者を中心に人気のアパレル大手FOREVER21、靴のチェーン店、DSWでの情報漏えい事件にも関与していたと見られている。●無防備なアクセスポイントに侵入 司法省の発表によると、GONZALEZらはウォードライビングと呼ばれる、車で移動して企業などの無線LANのアクセスポイントを探すクラッキング方法で、システムに侵入。重要なデータを盗み出していた。 最初に成功したのが、BJ'S WHOLESALE CLUBで2003年。成果に味を占めたグループはさらに他の小売店にも攻撃を行った。そのうちの1つがTJXだ。GONZALEZの共犯者の1人は、まずTJXの関連会社、MARSHALLSのマイアミ内の店舗にハッキング。その後も攻撃を続けることで、本社のネットワークへの侵入に成功した。 GONZALEZと共犯者として今回起訴されたCHRISTOPHER SCOTT、DAMON PATRICK TOEYはまず、店舗内で使用する価格確認のための携帯式デバイス、レジ、店内コンピュータ間の無線接続に、ノートパソコンと望遠鏡型のアンテナを用いて侵入している。無線ネットワークのセキュリティは非常にお粗末で、家庭内ネットワークの多くと比べてもセキュリティが不十分だったと言われている。 その後、マイアミにあるMARSHALLSの1店舗のネットワークを通じて、本社ネットワークにアクセス。2006年5月、クレジットカードの処理を行う際に、カード情報を盗み出すことができるようなプログラムをアップロードした。 GONZALEZらは、TJ MAXX、HOME GOODS、AJ WRIGHTをはじめとするTJXの関連会社のクレジットカード、デビットカードに関するデータを大量に獲得している。TJX側は、最初に侵入を受けてから18ヵ月もの長期にわたり、事態に気付いてもいなかったため、大量のデータが盗難されることになった。●データ不正利用で高額被害 2007年の3月には、ハッキング被害を受けたTJXのカードデータを用いてウォルマートや、その関連会社、SAM'S CLUBなどで不正な購入を行おうとしていたとして、ギャング団のメンバー6人がフロリダで逮捕された。IRVING ESCOBAR(18歳)、REINIER CAMARAZA ALVAREZ(27歳)、JULIO OSCAR ALBERTI(33歳)、DIANELLY HERNANDEZ(19歳)、NAIR ZULEIMA ALVAREZ(40歳)、ZENIA MERCEDES LLORENTE(23歳)で、今回、起訴されたメンバーとは異なる。 6人は全米のウォルマートなどで使用できるギフトカードをまず購入。その後、危険を避けるためだろう。カードを持って、カードを購入した… 【執筆:バンクーバー新報 西川桂子】 ── ※ この記事は Scan購読会員向け記事をダイジェスト掲載しました 購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
