チャットで Acxiom のハッカーご用となる
Kevin Poulsen(SecurityFocus)
2003年12月21日 22:25 GMT
国際
海外情報
2003年12月21日 22:25 GMT
シンシナティ在住の男が 12月18日、顧客情報管理大手の会社にクラック攻撃を仕掛け、情報を窃取したことを認めた。逮捕のきっかけは、ハッカー・コミュニティで友人を助けたことだった。
Daniel Baas 容疑者(25 歳)は 12月18日、保護されたコンピュータに対し権限を持たずにアクセスした連邦重罪の事実を認めた。同容疑者は、パスワードを破ってアーカンソー州に拠点を置く Acxiom Corporation のシステムに不正侵入したとされている。同社はプライバシー擁護派の間で、顧客データの膨大な収集および販売を行う会社として知られている。
2000年 10 月から昨年の 6 月まで、同容疑者は Market Intelligence Group のシステム管理者として勤務していた。同社は、シンシナティのデータマイニング(大量のデータからパターンや関係性を発見する手法)会社で、Acxiom の仕事を請け負っていた。その仕事の一環として、同容疑者は Acxiom FTP サーバへの正当なアクセス権を持っていた。その時、彼はサーバを詮索し、暗号パスワードが含まれている保護されていないファイルを発見したのだ。
そして、それらのパスワードの一部が一般的なパスワード・クラッキング・プログラムによって脆弱であることを突き止めた。Baas 容疑者は、それらのプログラムの一つ "packers" を用いて Acxiom の顧客が使用している全アカウントにアクセスできた。Acxiom の顧客には、クレジットカード会社、銀行、電話会社そして他の大企業が名を連ねており、同社が保存している顧客データへのアクセスや管理が可能となる。同容疑者は、その膨大なデータベースをコピーし CD に焼いた。
Robert Behlen 検事によると、Bass 容疑者は全部で何万という顧客の記録をダウンロードした。「彼はそれらの情報を利用して詐欺を行っていない。単に情報収集が好きなのだ」と同検事は述べた。Baas 容疑者の弁護士に電話でのコメントを求めたが返答はない。
Acxiom はこれまで Baas 容疑者の不審な行為に気づかなかった。だが、Baas 容疑者の墓穴を掘る要因となる出来事が今年の 4 月の IRC チャットルームで発生していた。当時、同容疑者は、ハンドル名 "Epitaph" を使ってシンシナティ地域のハッカー Jesse Tuttle(オンラインでは通称 "Hackah Jak")と会話を行っていた。
[情報提供:The Register]
http://www.theregister.co.uk/
[翻訳:関谷 麻美]
(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》