主犯は当局の協力者-史上最大のクレジットカード情報盗難事件


 1億3000万件にのぼるクレジットカード情報を盗んだとして、マイアミ在住の男性ら3人が詐欺などの罪で起訴された。主犯格とされる28歳のAlbert Gonzales被告は2008年、当時“過去最大級”という4000万件のカード情報盗で起訴されており、これをはるかに上回る規模で自らの記録を塗り替えることになった。事件は一連のもので、同じメンバーが関与しているらしいといい、サイバー犯罪の組織化をうかがわせる。

 Gonzales被告は、2人の共犯者とともに司法省によって米ニュージャージー州連邦大陪審に8月17日起訴された。3人は2006年10月から、カード処理会社のHeartland Payment Systems、小売のHannaford Brothers、7-Eleven、名前を公開していない企業2社の計5社のシステムに不正に侵入し、クレジット/デビットカード情報を盗んでいたという。

 Heartland Payment Systemsは約25万の顧客企業を抱え、処理件数は毎月1億件にもなるといわれる。Gonzales被告らが盗みだした1億3000万件のクレジットカード情報は「米国では過去最大規模」(司法省)だ。有罪となった場合、最大で25年の懲役刑と各罪に対し2500万ドルの罰金を科される可能性があるという。

 Gonzales被告は、2008年のカード情報盗で拘置中だ。この事件で、同被告を含む11人が、小売業TJX Companiesをはじめ複数の企業のシステムをハッキングし、クレジットカード情報を盗んだとして起訴された。この事件の審理は今年9月に予定されている。一連の事件を詳細に報じているWired.comは、今回の起訴は、Gonzales被告と検察官との間の包括的な和解に近づいている矢先のことだったという弁護士の話を伝えている。

 司法省はGonzales被告と併せて起訴した「2人の共謀者」の名前を公開していないが、同被告の弁護士によると、名前はDamon Patrick ToeyとMaksys Yastremskiだという。2人はGonzales被告と同様、TJXハッキング事件でも起訴されており、Yastremski被告には今年1月、トルコで30年間の禁固刑が言い渡されている。起訴事実が正しければ、Gonzales被告らはチームを組んで、さまざまなシステムに侵入しては、カード情報を盗んでいたことになる。The Wall Street Journalなどによると、2004年に4000人の犯罪グループの26人のリーダーが摘発されたが、Gonzales被告はこのなかのキーパーソンの1人だったという。

 今回の事件では、1億3000万件というとてつもない数のカード情報が、どのようにして盗み出されたのかに注目が集まっている。

 司法省の発表によると、Gonzales被告らは、カード情報を盗み出すために、まずターゲットの小売店店舗やWebサイトを訪問してPOSプログラムとWebアプリケーションを割り出したという。そのあと、Webアプリケーションと連動しているデータベースを不正に操作する「SQLインジェクション」という手法を用いて悪意あるソフトウェアをインストール。処理されるクレジットカード情報を傍受したという。

 その際、各社が講じているアンチウイルスなどの検出技術を出し抜く技術や足跡を消す技術も併用していたといわれている。盗んだ個人情報は、カリフォルニア州、イリノイ州、ラトビア、オランダ、ウクライナにあるサーバーに送っていたという。

 SQLインジェクションは、アプリケーションの想定外のSQL文を実行させることでデータベースを不正に操作する手法だ。それ自体は新しいものではなく、2005年ごろから、たびたびこの手法による事件が起こっている。DBをターゲットにしているため、データ被害が大きくなる可能性がある。

 Gonzales被告らは、こうした既知の手法を組み合わせながら、組織化によって膨大な数のクレジットカード情報窃盗に成功したという。被害額は、なお明らかになっておらず、当局の捜査を待っている状態だ。

 PC Worldは、こうした手口によるデータの漏えい対策として、「無線ネットワークのセキュリティ」「法規制順守」「注意」を挙げている。

 たとえば、無線ネットワークは、無線LANのアクセスポイントを侵入口にさせないようにする。実際、TJXの攻撃で、Gonzales氏らは自動車で移動しながら無線LANのアクセスポイントを探したとされている。PC Worldは無線LANのセキュリティとして、最低でもWPAおよびWPA2を実装すること、できればそれ以上の認証方法を設けることなどを推奨している。

 法規制順守では、クレジットカード業界のセキュリティ基準Payment Card Industry Data Security Standard(PCI DSS)やSOX法などの規定に従うことを勧めている。しかし、Heartlandの幹部は、PCI DSSを順守していたと主張しており、Gonzales被告らが行ったSQLインジェクションとウイルス対策ソフトウェア回避という2段構えの攻撃が、カード会社の一枚上手をいったということだろう。The Registerは、PCI DSSには今後見直しの必要があると指摘している。

 盗み出したカード情報はヤミ市場で取引される。Symantecが2008年に発表したレポートによると、クレジットカードの個人情報の場合、1件当たり0.1ドルから25ドルで売買されるという。そうして稼いだのか、Gonzales被告は、誕生日パーティで7万5000ドルも使うような豪勢な暮らしぶりだったとAssociated Pressは伝えている。

 実はGonzales被告は2003年にも、ハッキングで逮捕されたことがある。このときは司法取引で、財務省秘密検察局(Secret Service)に協力する情報提供者となることで起訴を免れていたという。今回の事件は彼の3回目のものとなるわけで、捜査を進めるうちに、情報提供者のGonzales被告自身が、事件にかかわっていることが発覚したのだという。当局としてはいい面の皮だったわけだ。



(岡田 陽子=Infostand)

2009/8/24/ 09:03