海外における個人情報流出事件とその対応 第179回 史上最悪の漏えい事件で国際犯罪団起訴 (1)データ不正利用で計9,400万件もの被害 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.25(土)

海外における個人情報流出事件とその対応 第179回 史上最悪の漏えい事件で国際犯罪団起訴 (1)データ不正利用で計9,400万件もの被害

国際 海外情報

 8月5日、4,000万件以上もの大量のクレジットカードとデビットカード番号の盗難および販売で、連邦検察は国際的な犯罪グループを起訴している。被告は、マイアミ在住のALBERT "SEGVEC" GONZALEZ、ウクライナのMAKSYM "MAKSIK" YASTREMSKIY、エストニアのALEKSANDR "JOHNNY HELL"、中国のHUNG-MING CHIU、ZHI ZHI WANGなど11人だ。

 起訴に際して、司法省が発表したプレスリリースによると、GONZALEZなどは、米国ディスカウント小売チェーン大手、TJXに関する情報漏えい事件などに関わっていたようだ。TJXはTJ MAXX、MARSHALLSなどを運営する企業で、2007年1月に何者かがシステムに侵入して、クレジットカード番号などのデータを不正に取得したことが明らかになった。TJXはカナダや英国にも店舗を持っているので、これらの国でも被害が報告されている。

 システムの侵入がわかったのは2006年12月だが、盗まれたデータの古いものは2003年まで遡る。当初、2006年5月から2007年1月の間に侵入を受けたとみられていたが、その後の捜査で2005年7月にも侵入されていることが分かった。つまり1年半近くもの間、情報が漏れていた。

 データは実際に悪用されていて、2006年11月には総額800万ドル相当のギフトカードの被害が確認されている。個人情報盗難の被害件数については、2007年1月の報道では4,570万件のクレジットカードとデビットカード、および返品記録に関するデータが45万5,000件だったが、その後、さらに4,800万人が被害を受けたことがわかり、合計9,400万件という史上最悪の事件となっている。

 しかし、犯罪グループが関わっていたのは、TJXのケースだけではない。大手書籍店のBARNES & NOBLES、米国東部を中心に会員制の倉庫店、BJ'S WHOLESALE CLUB、フロリダ州に本拠を置く、スポーツ用品専門店のチェーン店、SPORTS AUTHORITY、文具、オフィス用品の大手、OFFICEMAX、カジュアルレストランのチェーン、BOSTONMARKET、若者を中心に人気のアパレル大手FOREVER21、靴のチェーン店、DSWでの情報漏えい事件にも関与していたと見られている。

●無防備なアクセスポイントに侵入

 司法省の発表によると、GONZALEZらはウォードライビングと呼ばれる、車で移動して企業などの無線LANのアクセスポイントを探すクラッキング方法で、システムに侵入。重要なデータを盗み出していた。

 最初に成功したのが、BJ'S WHOLESALE CLUBで2003年。成果に味を占めたグループはさらに他の小売店にも攻撃を行った。そのうちの1つがTJXだ。GONZALEZの共犯者の1人は、まずTJXの関連会社、MARSHALLSのマイアミ内の店舗にハッキング。その後も攻撃を続けることで、本社のネットワークへの侵入に成功した。

 GONZALEZと共犯者として今回起訴されたCHRISTOPHER SCOTT、DAMON PATRICK TOEYはまず、店舗内で使用する価格確認のための携帯式デバイス、レジ、店内コンピュータ間の無線接続に、ノートパソコンと望遠鏡型のアンテナを用いて侵入している。無線ネットワークのセキュリティは非常にお粗末で、家庭内ネットワークの多くと比べてもセキュリティが不十分だったと言われている。

 その後、マイアミにあるMARSHALLSの1店舗のネットワークを通じて、本社ネットワークにアクセス。2006年5月、クレジットカードの処理を行う際に、カード情報を盗み出すことができるようなプログラムをアップロードした。

 GONZALEZらは、TJ MAXX、HOME GOODS、AJ WRIGHTをはじめとするTJXの関連会社のクレジットカード、デビットカードに関するデータを大量に獲得している。TJX側は、最初に侵入を受けてから18ヵ月もの長期にわたり、事態に気付いてもいなかったため、大量のデータが盗難されることになった。

●データ不正利用で高額被害

 2007年の3月には、ハッキング被害を受けたTJXのカードデータを用いてウォルマートや、その関連会社、SAM'S CLUBなどで不正な購入を行おうとしていたとして、ギャング団のメンバー6人がフロリダで逮捕された。IRVING ESCOBAR(18歳)、REINIER CAMARAZA ALVAREZ(27歳)、JULIO OSCAR ALBERTI(33歳)、DIANELLY HERNANDEZ(19歳)、NAIR ZULEIMA ALVAREZ(40歳)、ZENIA MERCEDES LLORENTE(23歳)で、今回、起訴されたメンバーとは異なる。

 6人は全米のウォルマートなどで使用できるギフトカードをまず購入。その後、危険を避けるためだろう。カードを持って、カードを購入した…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  2. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  3. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  4. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. どこかへ跳んでいけ、出来の悪いラビット(The Register)

  7. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  8. SMSによる二要素認証が招くSOS(The Register)

  9. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  10. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×