チャットで Acxiom のハッカーご用となる

Kevin Poulsen（SecurityFocus）
2003年12月21日 22:25 GMT

　シンシナティ在住の男が 12月18日、顧客情報管理大手の会社にクラック攻撃を仕掛け、情報を窃取したことを認めた。逮捕のきっかけは、ハッカー・コミュニティで友人を助けたことだった。

　Daniel Baas 容疑者（25 歳）は 12月18日、保護されたコンピュータに対し権限を持たずにアクセスした連邦重罪の事実を認めた。同容疑者は、パスワードを破ってアーカンソー州に拠点を置く Acxiom Corporation のシステムに不正侵入したとされている。同社はプライバシー擁護派の間で、顧客データの膨大な収集および販売を行う会社として知られている。

　2000年 10 月から昨年の 6 月まで、同容疑者は Market Intelligence Group のシステム管理者として勤務していた。同社は、シンシナティのデータマイニング（大量のデータからパターンや関係性を発見する手法）会社で、Acxiom の仕事を請け負っていた。その仕事の一環として、同容疑者は Acxiom FTP サーバへの正当なアクセス権を持っていた。その時、彼はサーバを詮索し、暗号パスワードが含まれている保護されていないファイルを発見したのだ。

　そして、それらのパスワードの一部が一般的なパスワード・クラッキング・プログラムによって脆弱であることを突き止めた。Baas 容疑者は、それらのプログラムの一つ "packers" を用いて Acxiom の顧客が使用している全アカウントにアクセスできた。Acxiom の顧客には、クレジットカード会社、銀行、電話会社そして他の大企業が名を連ねており、同社が保存している顧客データへのアクセスや管理が可能となる。同容疑者は、その膨大なデータベースをコピーし CD に焼いた。

　Robert Behlen 検事によると、Bass 容疑者は全部で何万という顧客の記録をダウンロードした。「彼はそれらの情報を利用して詐欺を行っていない。単に情報収集が好きなのだ」と同検事は述べた。Baas 容疑者の弁護士に電話でのコメントを求めたが返答はない。

　Acxiom はこれまで Baas 容疑者の不審な行為に気づかなかった。だが、Baas 容疑者の墓穴を掘る要因となる出来事が今年の 4 月の IRC チャットルームで発生していた。当時、同容疑者は、ハンドル名 "Epitaph" を使ってシンシナティ地域のハッカー Jesse Tuttle（オンラインでは通称 "Hackah Jak"）と会話を行っていた。

［情報提供：The Register］
http://www.theregister.co.uk/

［翻訳：関谷　麻美］

（詳しくはScan本誌をご覧ください）
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?m-sc_netsec