Lamo 容疑者、被害額 30万ドルのデータベース・ハッキング容疑を否認

Kevin Poulsen（SecurityFocus）
2003年9月11日 08:26 GMT

　ニューヨーク連邦検察当局の訴状によると、昨年、New York Times の内部ネットワークに不正侵入したことを公にする数日前、ハッカー Adrian Lamo 容疑者は New York Times 社アカウントの LexisNexis データサービスの新規ユーザアカウントを 5 つ作成した。彼はその後 3ヶ月間にわたりそれらのアカウントを利用してデータベースの不正使用を続け、その被害額は 30 万ドル程にのぼる。

　Lamo 容疑者は、その被害額は事実に反すると主張しており、また水曜には他の情報筋もその被害額に関して懐疑的な見解を示した。

　Reed Elsevier の傘下にある LexisNexis は判例、公文書、新聞、雑誌などのアーカイブを扱う豊富なオンライン・ライブラリを購読者に提供している。

　Christine Howard FBI 捜査官が提出した訴状によると（火曜の Lamo 容疑者の自首の後、公開された）、同容疑者は LexisNexis のサービスを利用して、自身の名前、他のハッカーの名前そして AOL 幹部の名前を検索した。さらに、彼は自身の親の家や近所の地所に関する不動産記録を調べ、また同サービスの拡張ニュース・ライブラリを使用して、自身の Times ハッキング事件を扱った新聞や雑誌を閲覧した。

　LexisNexis 担当者が同サービスの異常に高い活動状況に気付き、それらのアカウントを閉鎖した。それらのアカウントが有効の間、Lamo 容疑者のクエリは New York Times アカウントで実行された全検索のおよそ 18％を占めていた。

　Lamo 容疑者に、LexisNexis アカウントの作成および使用について訊ねたところ、「係争中だから」という理由でコメントを拒否された。

　しかし、同容疑者は 30 万ドルについて反論した。

「私は、その被害額が事実無根であると確信している。彼らがどのようにして被害額を算出したのかは不明だが、真実は法廷で明らかになると信じている。そして、その推計が全く事実に基づいていないことが明らかになるだろう」と同容疑者。

　New York Times の Christine Mohan 広報担当は、30 万ドルがどのようにはじき出されたのかについては言及しなかったが、その数字は LexisNexis が示したものだと明言した。さらに、New York Times がベンダとの契約条件を開示していないことを付け加えた。その件に関して LexisNexis からの返答はない。

　LexisNexis の Web サイトは簡単な "pay as you go（即金払い）" サービスを提供しており、その価格は検索 1 件につき 3 ドルから 12 ドルに設定されている。尚、その額は訴状で試算されている 1 件 100 ドルの検索料を遥かに下回るものだ。匿名を条件で情報を提供してくれた Times の某ジャーナリスは次のように語っている。「LexisNexis アカウントで検索にかかる料金が 100 ドルを遥かに下回ることを記者には知らされなかった。これは全く馬鹿げたことだ。Lamo 容疑者に設定されていた価格ならば、我々は破産してしまうだろう」。

「30 万ドルは高すぎる。LexisNexis が出した被害額は法外に思える」と Mark Rasch 弁護士兼司法省サイバー犯罪検察官は述べた。

　Rasch 氏の分析によると、これは、学術的問題の範疇を超えるものだ。30 万ドルの数字は、前科や有罪答弁がないものと仮定して、連邦ガイドラインによる Lamo 容疑者の 6ヶ月の最大拘置期間を 3 年以上の禁固に重くするものだ。「これは、詰まるところ家に帰るか、刑務所で 3 年以上過ごすかの違いだ」と同氏。

［情報提供：The Register］
http://www.theregister.co.uk/

［翻訳：関谷　麻美］

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml