起訴状によると、キャピタル・ワンのハッカー容疑者は、クリプトジャッキングのためにクラウドサーバーも利用していたという。
ジェームズ・ソーン著
Vodafone の声明を更新しました。
連邦大陪審は、元アマゾンのエンジニアであるペイジ・トンプソンを、キャピタル・ワンおよび30社以上の企業のクラウドサーバーに侵入し、データを盗んだだけでなく暗号通貨を採掘したとして、複数の通信詐欺およびコンピューター詐欺の罪で起訴した。
データ窃盗の疑いのある事件は広く報道されているが、今回の起訴状は、トンプソン被告がサーバーへの不正アクセスを利用して仮想通貨の採掘(一般にクリプトジャッキングとして知られる行為)を行ったと検察側が公に主張した初めてのケースとなる。
起訴状によると、トンプソン被告はクラウドコンピューティング会社のクラウドサーバー上のウェブアプリケーションファイアウォールの設定ミスを悪用し、顧客のデータに不正アクセスしたとされている。クラウドコンピューティングプロバイダーの名前は明らかにされていないが、この侵害に関連してAmazonも訴訟を起こされており、このテクノロジー大手も侵害の責任を問われている。
暗号通貨マイナーは、暗号通貨取引のブロックを検証するために計算能力を使用することで報酬を得ています。クリプトジャッキングとは、他人の計算能力を利用して暗号通貨をマイニングし、収益を得る方法です。
トンプソン氏が疑惑の計画の一環としてクリプトジャッキングに関与していたという兆候は以前からあった。以前報じられたSlackメッセージで、トンプソン氏は「もうすぐ再就職できる。もしパートナーがいれば、クリプトジャッキング事業を彼らに引き継いでもらい、自分は専業主婦でいられる」と投稿していた。
キャピタル・ワンに加え、ハッキングの被害者には州政府機関、外資系通信コングロマリット、公立研究大学などが含まれている。州政府機関と大学はいずれもワシントン州内に所在していない。イスラエルのセキュリティ企業サイバーイントは、トンプソン氏のオンラインメッセージに記載されているファイル名に基づき、ミシガン州立大学、ボーダフォン、オハイオ州運輸局などが被害者に含まれる可能性があると示唆している。
トンプソン容疑者は、外部からのコマンドに対して脆弱なファイアウォールを持つ企業を特定するソフトウェアを使用し、サーバー上のデータにアクセスできる顧客のセキュリティ認証情報を返すリクエストを送信したとされています。起訴状によると、トンプソン容疑者は、仮想プライベートネットワーク(VPN)と匿名オンライン通信ソフトウェア「The Onion Router」(Tor)を利用して、自身の位置情報と身元を隠蔽していました。
起訴状によると、トンプソンはこれらの方法を通じて、キャピタル・ワンにクレジットカードを申し込んだ1億人の顧客情報にアクセスしたという。捜査官によると、トンプソンはこれらの情報を販売または共有した形跡はない。トンプソンは先週、シアトルの裁判所に出廷し、勾留審問を受けたが、公判までの釈放要求は却下された。
当局によると、トンプソンは有罪判決を受けた場合、最長25年の懲役刑に処せられる可能性がある。この事件は、スティーブン・マサダ連邦検事補とアンドリュー・フリードマン連邦検事補によって起訴されている。
8月29日更新:起訴状で「被害者3」として特定されている匿名の通信コングロマリットとみられるVodafoneは、GeekWireの問い合わせに対し、次のような声明を発表しました。「調査の結果、Vodafoneの顧客データやその他の個人データへの今回の事件に関する影響は確認されていません。引き続き関係当局と協力し、捜査を支援していきます。」
起訴状全文は以下をご覧ください。
ScribdのGeekWireによる、キャピタル・ワンのハッカー容疑者ペイジ・トンプソンの起訴状
