マサチューセッツ州の少年が、パリス・ヒルトン嬢の携帯電話のアドレス帳がインターネット上で公開された原因となった2005年1月のサイバー攻撃を仕掛けたとして有罪を認めた。この事件でサーバを攻撃された携帯電話T-Mobileが明らかにした。
この少年は未成年のため身元は明かされていない。彼には一連のハッキングおよび2004年3月から15カ月にわたる脅迫で、「11カ月の拘禁の後2年間の監視付き釈放」が言い渡された。また処罰中はコンピュータ、携帯電話などインターネットに接続できるあらゆる機器の使用が禁止される。
ヒルトン嬢の携帯電話のアドレス帳のコピーは2月にWebに掲載され、多数のインターネットユーザーがエミネムやアンナ・クルニコワなどの有名人の個人的な電話番号や電子メールアドレスにアクセスした。
被告少年は、T-Mobile社員をだまして機密情報を引き出し(「ソーシャルエンジニアリング」と呼ばれるハッキングの手口だ)、同社のWebサイトの欠陥を突いてこの情報を入手することができたと同社の広報担当ピーター・ドブロウ氏は説明する。「ここで主な問題はソーシャルエンジニアリングだった。われわれが末端で対処していたパスワードリセット機能もあった」
T-Mobileは、今後このようなソーシャルエンジニアリングの成功を防ぐための措置を幾つか取ったと同氏。
被告少年への刑の言い渡しは9月8日、ボストンの米連邦地裁のリャ・ゾベル判事により行われたと米検察局は声明文で述べている。
この少年は、インターネット・電話サービス会社数社(社名は明かされていない)へのハッキング、マサチューセッツおよびフロリダ州の学校を爆弾で脅すなどさまざまな罪で起訴された。これらの犯罪による被害は、総額およそ100万ドルに上ると検察局は述べている。
今年1月、この少年はある「大手電話サービス会社」のコンピュータシステムにアクセスし、その会社の加入者の携帯電話に保存されている情報を公開したと検察局の声明文には書かれている。ヒルトン嬢とT-Mobileの名前は記されていなかった。
この声明文に登場する「加入者」は、実際はT-Mobileの加入者であるパリス・ヒルトン嬢だとドブロウ氏は認めた。「ヒルトン嬢の事件に関して、この人物が裁きを受けたことに満足している」と同氏は付け加えた。
被告少年は、8〜12人程度のハッカーで構成される結束の緩い組織「Defonic Team Screen Name Club」に参加していた。このグループは多数のコンピュータネットワークに侵入したと、彼らと接触したセキュリティ専門家は話している。「このような子供たちは現れては消えてゆく」とInfosec Instituteのプログラムマネジャー、ジャック・コジオル氏。「彼らの1人が少年院に入っても、次の日にはその代わりが500人いる」
マイアミのシークレットサービス(米財務省検察局)特別捜査官ウィリアム・シムズ氏は、さらに起訴が行われる見込みだと語る。「この件に関しては複数のハッキングがあり、まだこれに関与している共同被告が何人かいる。捜査はまだ続行中だ」
T-Mobileがやるべきことはまだあるかもしれないとコジオル氏。同氏がT-Mobileのサイトを最近調べたところ、幾つかの欠陥が見つかったという。「被告少年が侵入してから時間が経っても、同社のWebサイト中にはありとあらゆるセキュリティ問題がある。驚きだ」
例えば、T-Mobileは今でも、既知のJavaの脆弱性を抱えた古いサーバソフトを使っていると同氏。「被告少年が悪用した欠陥は修正されたが、全体的な問題はまだ残っている」
Copyright(C) IDG Japan, Inc. All Rights Reserved.
Special
PR