海外における個人情報流出事件とその対応 第179回 史上最悪の漏えい事件で国際犯罪団起訴 (1)データ不正利用で計9,400万件もの被害 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.26(火)

海外における個人情報流出事件とその対応 第179回 史上最悪の漏えい事件で国際犯罪団起訴 (1)データ不正利用で計9,400万件もの被害

国際 海外情報

 8月5日、4,000万件以上もの大量のクレジットカードとデビットカード番号の盗難および販売で、連邦検察は国際的な犯罪グループを起訴している。被告は、マイアミ在住のALBERT "SEGVEC" GONZALEZ、ウクライナのMAKSYM "MAKSIK" YASTREMSKIY、エストニアのALEKSANDR "JOHNNY HELL"、中国のHUNG-MING CHIU、ZHI ZHI WANGなど11人だ。

 起訴に際して、司法省が発表したプレスリリースによると、GONZALEZなどは、米国ディスカウント小売チェーン大手、TJXに関する情報漏えい事件などに関わっていたようだ。TJXはTJ MAXX、MARSHALLSなどを運営する企業で、2007年1月に何者かがシステムに侵入して、クレジットカード番号などのデータを不正に取得したことが明らかになった。TJXはカナダや英国にも店舗を持っているので、これらの国でも被害が報告されている。

 システムの侵入がわかったのは2006年12月だが、盗まれたデータの古いものは2003年まで遡る。当初、2006年5月から2007年1月の間に侵入を受けたとみられていたが、その後の捜査で2005年7月にも侵入されていることが分かった。つまり1年半近くもの間、情報が漏れていた。

 データは実際に悪用されていて、2006年11月には総額800万ドル相当のギフトカードの被害が確認されている。個人情報盗難の被害件数については、2007年1月の報道では4,570万件のクレジットカードとデビットカード、および返品記録に関するデータが45万5,000件だったが、その後、さらに4,800万人が被害を受けたことがわかり、合計9,400万件という史上最悪の事件となっている。

 しかし、犯罪グループが関わっていたのは、TJXのケースだけではない。大手書籍店のBARNES & NOBLES、米国東部を中心に会員制の倉庫店、BJ'S WHOLESALE CLUB、フロリダ州に本拠を置く、スポーツ用品専門店のチェーン店、SPORTS AUTHORITY、文具、オフィス用品の大手、OFFICEMAX、カジュアルレストランのチェーン、BOSTONMARKET、若者を中心に人気のアパレル大手FOREVER21、靴のチェーン店、DSWでの情報漏えい事件にも関与していたと見られている。

●無防備なアクセスポイントに侵入

 司法省の発表によると、GONZALEZらはウォードライビングと呼ばれる、車で移動して企業などの無線LANのアクセスポイントを探すクラッキング方法で、システムに侵入。重要なデータを盗み出していた。

 最初に成功したのが、BJ'S WHOLESALE CLUBで2003年。成果に味を占めたグループはさらに他の小売店にも攻撃を行った。そのうちの1つがTJXだ。GONZALEZの共犯者の1人は、まずTJXの関連会社、MARSHALLSのマイアミ内の店舗にハッキング。その後も攻撃を続けることで、本社のネットワークへの侵入に成功した。

 GONZALEZと共犯者として今回起訴されたCHRISTOPHER SCOTT、DAMON PATRICK TOEYはまず、店舗内で使用する価格確認のための携帯式デバイス、レジ、店内コンピュータ間の無線接続に、ノートパソコンと望遠鏡型のアンテナを用いて侵入している。無線ネットワークのセキュリティは非常にお粗末で、家庭内ネットワークの多くと比べてもセキュリティが不十分だったと言われている。

 その後、マイアミにあるMARSHALLSの1店舗のネットワークを通じて、本社ネットワークにアクセス。2006年5月、クレジットカードの処理を行う際に、カード情報を盗み出すことができるようなプログラムをアップロードした。

 GONZALEZらは、TJ MAXX、HOME GOODS、AJ WRIGHTをはじめとするTJXの関連会社のクレジットカード、デビットカードに関するデータを大量に獲得している。TJX側は、最初に侵入を受けてから18ヵ月もの長期にわたり、事態に気付いてもいなかったため、大量のデータが盗難されることになった。

●データ不正利用で高額被害

 2007年の3月には、ハッキング被害を受けたTJXのカードデータを用いてウォルマートや、その関連会社、SAM'S CLUBなどで不正な購入を行おうとしていたとして、ギャング団のメンバー6人がフロリダで逮捕された。IRVING ESCOBAR(18歳)、REINIER CAMARAZA ALVAREZ(27歳)、JULIO OSCAR ALBERTI(33歳)、DIANELLY HERNANDEZ(19歳)、NAIR ZULEIMA ALVAREZ(40歳)、ZENIA MERCEDES LLORENTE(23歳)で、今回、起訴されたメンバーとは異なる。

 6人は全米のウォルマートなどで使用できるギフトカードをまず購入。その後、危険を避けるためだろう。カードを持って、カードを購入した…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

    Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

  2. フィッシング詐欺支援サービスの価格表(The Register)

    フィッシング詐欺支援サービスの価格表(The Register)

  3. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

    「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  4. 豪大臣、サイバー戦争の国際法整備を ASEAN 諸国に求める(The Register)

  5. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  6. 「ゴリラズ・アプリ」の暗号解読で求人の一次審査を免除(英ジャガー・ランドローバー)

  7. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  8. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  9. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  10. 9月18日「大規模日本Webサイト攻撃活動」の成果(Far East Research)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×