海外における個人情報流出事件とその対応 第179回 史上最悪の漏えい事件で国際犯罪団起訴 (1)データ不正利用で計9,400万件もの被害 | ScanNetSecurity
2024.03.29(金)

海外における個人情報流出事件とその対応 第179回 史上最悪の漏えい事件で国際犯罪団起訴 (1)データ不正利用で計9,400万件もの被害

 8月5日、4,000万件以上もの大量のクレジットカードとデビットカード番号の盗難および販売で、連邦検察は国際的な犯罪グループを起訴している。被告は、マイアミ在住のALBERT "SEGVEC" GONZALEZ、ウクライナのMAKSYM "MAKSIK" YASTREMSKIY、エストニアのALEKSANDR "JOH

国際 海外情報
 8月5日、4,000万件以上もの大量のクレジットカードとデビットカード番号の盗難および販売で、連邦検察は国際的な犯罪グループを起訴している。被告は、マイアミ在住のALBERT "SEGVEC" GONZALEZ、ウクライナのMAKSYM "MAKSIK" YASTREMSKIY、エストニアのALEKSANDR "JOHNNY HELL"、中国のHUNG-MING CHIU、ZHI ZHI WANGなど11人だ。

 起訴に際して、司法省が発表したプレスリリースによると、GONZALEZなどは、米国ディスカウント小売チェーン大手、TJXに関する情報漏えい事件などに関わっていたようだ。TJXはTJ MAXX、MARSHALLSなどを運営する企業で、2007年1月に何者かがシステムに侵入して、クレジットカード番号などのデータを不正に取得したことが明らかになった。TJXはカナダや英国にも店舗を持っているので、これらの国でも被害が報告されている。

 システムの侵入がわかったのは2006年12月だが、盗まれたデータの古いものは2003年まで遡る。当初、2006年5月から2007年1月の間に侵入を受けたとみられていたが、その後の捜査で2005年7月にも侵入されていることが分かった。つまり1年半近くもの間、情報が漏れていた。

 データは実際に悪用されていて、2006年11月には総額800万ドル相当のギフトカードの被害が確認されている。個人情報盗難の被害件数については、2007年1月の報道では4,570万件のクレジットカードとデビットカード、および返品記録に関するデータが45万5,000件だったが、その後、さらに4,800万人が被害を受けたことがわかり、合計9,400万件という史上最悪の事件となっている。

 しかし、犯罪グループが関わっていたのは、TJXのケースだけではない。大手書籍店のBARNES & NOBLES、米国東部を中心に会員制の倉庫店、BJ'S WHOLESALE CLUB、フロリダ州に本拠を置く、スポーツ用品専門店のチェーン店、SPORTS AUTHORITY、文具、オフィス用品の大手、OFFICEMAX、カジュアルレストランのチェーン、BOSTONMARKET、若者を中心に人気のアパレル大手FOREVER21、靴のチェーン店、DSWでの情報漏えい事件にも関与していたと見られている。

●無防備なアクセスポイントに侵入

 司法省の発表によると、GONZALEZらはウォードライビングと呼ばれる、車で移動して企業などの無線LANのアクセスポイントを探すクラッキング方法で、システムに侵入。重要なデータを盗み出していた。

 最初に成功したのが、BJ'S WHOLESALE CLUBで2003年。成果に味を占めたグループはさらに他の小売店にも攻撃を行った。そのうちの1つがTJXだ。GONZALEZの共犯者の1人は、まずTJXの関連会社、MARSHALLSのマイアミ内の店舗にハッキング。その後も攻撃を続けることで、本社のネットワークへの侵入に成功した。

 GONZALEZと共犯者として今回起訴されたCHRISTOPHER SCOTT、DAMON PATRICK TOEYはまず、店舗内で使用する価格確認のための携帯式デバイス、レジ、店内コンピュータ間の無線接続に、ノートパソコンと望遠鏡型のアンテナを用いて侵入している。無線ネットワークのセキュリティは非常にお粗末で、家庭内ネットワークの多くと比べてもセキュリティが不十分だったと言われている。

 その後、マイアミにあるMARSHALLSの1店舗のネットワークを通じて、本社ネットワークにアクセス。2006年5月、クレジットカードの処理を行う際に、カード情報を盗み出すことができるようなプログラムをアップロードした。

 GONZALEZらは、TJ MAXX、HOME GOODS、AJ WRIGHTをはじめとするTJXの関連会社のクレジットカード、デビットカードに関するデータを大量に獲得している。TJX側は、最初に侵入を受けてから18ヵ月もの長期にわたり、事態に気付いてもいなかったため、大量のデータが盗難されることになった。

●データ不正利用で高額被害

 2007年の3月には、ハッキング被害を受けたTJXのカードデータを用いてウォルマートや、その関連会社、SAM'S CLUBなどで不正な購入を行おうとしていたとして、ギャング団のメンバー6人がフロリダで逮捕された。IRVING ESCOBAR(18歳)、REINIER CAMARAZA ALVAREZ(27歳)、JULIO OSCAR ALBERTI(33歳)、DIANELLY HERNANDEZ(19歳)、NAIR ZULEIMA ALVAREZ(40歳)、ZENIA MERCEDES LLORENTE(23歳)で、今回、起訴されたメンバーとは異なる。

 6人は全米のウォルマートなどで使用できるギフトカードをまず購入。その後、危険を避けるためだろう。カードを持って、カードを購入した…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る