米司法省とシークレットサービスが国際的ID窃盗グループを摘発：国際的犯罪シンジケートが存在（1/2 ページ）

米司法当局とシークレットサービスは、TJX Companiesなど小売大手各社から約4000万件のクレジットカードおよびデビットカード情報が盗まれた事件の背景に、国際的犯罪シンジケートが存在することを明らかにした。

[Roy Mark，eWEEK]

　米司法当局とシークレットサービスは、TJX Companies、BJ's Wholesale Club、OfficeMax、Boston Market、Barnes & Noble、Sports Authority、Forever 21、DSWなど、小売大手各社から約4000万件のクレジットカードおよびデビットカード情報が盗まれた事件の背景に、国際的犯罪シンジケートが存在することを明らかにした。米司法省（DOJ）とシークレットサービスは、ハッカーたちがウォードライビングで各社のコンピュータネットワークに不正侵入し、個人情報を盗み取るスニッファプログラムでカード情報と個人データを盗み出したとしている。

　摘発されたものとしては過去最大規模となった今回のハッキング／個人情報窃盗事件で、DOJは8月5日、約4000万件のクレジットおよびデビットカード情報を盗取、転売した罪で11人を起訴した。

　DOJによると、カード番号はTJX Companies、BJ's Wholesale Club、OfficeMax、Boston Market、Barnes & Noble、Sports Authority、Forever 21、DSWなど大手小売業者の無線ネットワークに対するウォードライビングとハッキングによって盗まれたという。ウォードライビングとは、ラップトップやPDAを車に持ち込み、移動しながらWi-Fiネットワークのアクセスポイントを探す手口だ。

　ハッカーたちはネットワークに侵入すると、小売店のネットワーク上でやり取りされるクレジットカードやデビットカードの番号、パスワード、アカウント情報などを盗聴するスニッファプログラムをインストールし、一連のデータを盗み出したあと、それらを東欧と米国で管理するサーバに暗号化して隠匿した。

　DOJの起訴状によると、ハッカーたちは盗んだカード番号をインターネット経由で東欧や米国の犯罪グループに転売した。カード番号はブランクカードの磁気ストライプにエンコードされ、“キャッシュアウト”された。窃盗犯たちは、その偽造カードを使ってATMから数万ドルの預金を引き出したとされる。

　「われわれの知る限り、このケースは米国史上最大かつ最も巧妙なID窃盗事件だ」と、マイケル・ミュケイジー米司法長官はボストンでの記者会見で語った。「今回の摘発は、この手の悪質な犯罪と戦う司法省の努力に光を当てるとともに、高度な技術を駆使する国際的なハッカーでさえ、全世界の司法当局と連携して、特定、追跡、逮捕できることを改めて示した」

　8月5日にボストン連邦大陪審が発布した正式な起訴状によると、マイアミ出身のアルバート・ゴンザレス被告は、コンピュータ詐欺、通信詐欺、アクセスデバイス詐欺、加重個人情報窃盗および共謀の罪に問われている。同被告は2003年にもアクセスデバイス詐欺でシークレットサービスに逮捕された経歴がある。

　シークレットサービスは今回の事件の捜査過程で、同局の秘密情報提供者だったゴンザレス被告が犯行に関与していることを発見したという。DOJでは、犯罪の規模、広がりなどから、すべての起訴事実で有罪となれば、同被告に終身刑が言い渡される可能性が高いとみる。

　ボストンではこのほか、マイアミ出身のクリストファ・スコット被告とデイモン・パトリック・トーイ被告、またサンディエゴではウクライナ・ハリコフ出身のマクシム・ヤストレムスキー被告とエストニア・シラマエ出身のアレクサンドル・スボロフ被告が共犯の罪で起訴された。

　またサンディエゴ連邦大陪審は、中国出身のハン・ミン・チウとジー・ジー・ワンの両被告と、オンライン上で「Delpiero」と呼ばれていた身元不詳の犯行グループの一人も起訴した。

　起訴状によると、これらの被告はゴンザレス被告が不正入手したクレジットカード情報のほかに、別の盗難カードのデータ転売にも関与していた。スボロフ被告は不正アクセスデバイス所持、不正アクセスデバイス所持に関する共謀、不正アクセスデバイスの違法取引に加え、個人情報窃盗、加重個人情報窃盗、ほう助、教唆の罪で起訴された。