［米国］
米国司法省、過去最大規模のカードデータ窃盗グループを起訴

容疑者11名の国籍は米国、エストニア、ウクライナ、中国……

（2008年08月07日）

犯行グループはDave＆Buster's本社のネットワークに直接侵入し、5,000件を超えるクレジットカード・データを盗み出すことに成功したという

　数千万件に上るクレジットカードやデビットカードの番号を盗み出したとして、11人が起訴された。彼らはすぐれた“技術力”を駆使して犯行に及んでおり、その“人材”も世界中から集結していた。

　2001年9月11日の米国中枢同時多発テロ以降、企業にとってセキュリティ対策は最重要課題だった。それにもかかわらず、今回起訴された容疑者たちは、9つの企業（いずれも小売業界の大手企業）からいとも簡単にデータを盗み出していた。

　犯行グループはターゲットとなる企業のネットワークやサーバ、データベースの脆弱性を事前に調査し、同脆弱性を悪用してデータを盗み出していた。米国司法省（DOJ）が提出した起訴状によると、今回逮捕された犯行グループは過去最大規模で、最も組織化されていたという。犯行は2003年から始まっており、米国だけでなく多くの国で活動していたもようだ。犯行メンバーの国籍も、エストニア、ウクライナ、中国など、多岐にわたっている。

　起訴状によると、犯行グループはクレジット／デビットカードのPIN番号を解読し、偽造クレジットカードを作成して現金を不正に引き出したほか、非合法の流通ネットワークを利用して、カード情報を世界中に売りさばいていたという。被害総額は明らかになっていないが、起訴状には380万ドル、490万ドル、190万ドルなど、7ケタの金額が海外からの送金額として登場している。

　犯行の中心人物とされるフロリダ州マイアミ在住のアルバート・ゴンザレス（Albert Gonzalez）容疑者宅からは、貨幣計数機が押収された。このことからも、多額の現金が動いていたことがうかがえる。

　犯行グループのターゲットとなった小売企業のなかには、BJ's Wholesale Club、TJX Companies、DSW Shoe Warehouse、OfficeMax、Barnes＆Noble、Boston Market、Sports Authority、Forever21などが含まれている。

　これらの企業ネットワークに侵入する際に用いられた手法の1つは、「ウォードライビング（Wardriving）」だったという。これは無線LAN対応のPCを搭載した車で移動しながら、無線LANアクセスポイントを探すというものだ。

　同手法の詳細が初めて明らかになったのは、今年5月のことだった。ダラスのレストラン・チェーンDave＆Buster'sからクレジットカードとデビットカードのデータが盗まれた事件で、捜査当局はクレジットカード・データを盗み出すのに使われたソフトを分析するとともに、US-CERT（コンピュータ緊急対応チーム）にも協力を求めた。

　その結果、CERTはデータ窃盗に利用されたソフトは、ネットワーク上でやり取りされるパケットをモニタリング／解析する「コア・スニファー・プログラム」であることを突き止めた。同時に同プログラムに使用されているアルゴリズムやデータ構造から、開発者は大学レベルのコンピュータ・プログラミングの技能を有した人物であるとの見解を示した。

　さらに犯行グループは、執拗さも兼ね備えていたようだ。起訴状によると、Dave＆Buster'sのPOSサーバに侵入しようとして失敗した犯行グループは、テキサス州ダラスにある本社のネットワークに直接侵入し、一部店舗のネットワークにスニファーをインストールして5,000件を超えるクレジットカード・データを盗み出すことに成功したという。なお、Dave＆Buster'sの件だけでも、被害額は60万ドルに上っている。

(Patrick Thibodeau／Computerworld米国版)