元AWSエンジニアが2019年のキャピタルワンハッキング事件で電信詐欺とコンピュータ侵入の罪で有罪判決
テイラー・ソパー著
2019年に大規模なハッキングを行ったとして告発された元アマゾンウェブサービスのエンジニアが、金曜日にシアトルの米地方裁判所で連邦犯罪7件で有罪判決を受けた。
検察は、ペイジ・トンプソンがAWSアカウントの設定ミスを検知するツールを開発し、それを用いてAWSの顧客であるキャピタル・ワンを含む30以上の企業のデータにアクセスした経緯を明らかにした。キャピタル・ワンの顧客1億人以上が影響を受けた。これは大手金融サービスにおける過去最大規模の情報漏洩の一つであった。
陪審はトンプソン被告がコンピューター詐欺・濫用防止法に違反したと認定した。この判決は先月、司法省が同法に基づく起訴方針を改訂し、「善意によるセキュリティ研究は起訴されるべきではない」と述べたことで注目を集めた。
トンプソンは、有線通信詐欺、保護されたコンピュータへの不正アクセス5件、および保護されたコンピュータの損傷の罪で有罪判決を受けました。訴状によると、彼女は不正アクセスを利用して、新しいサーバーに仕掛けられた暗号通貨マイニングソフトウェアから収入を得ていました。トンプソンは、アクセスデバイス詐欺と加重個人情報窃盗の罪では無罪となりました。
「トンプソン氏はハッキングスキルを駆使して1億人以上の個人情報を盗み、コンピュータサーバーを乗っ取って仮想通貨をマイニングした」と、ニック・ブラウン連邦検事はプレスリリースで述べた。「企業のコンピュータセキュリティを支援しようとする倫理的なハッカーとは程遠く、ミスを悪用して貴重なデータを盗み、私腹を肥やそうとしたのだ。」
トンプソン氏は2015年から2016年までアマゾンでシステムエンジニアとして働いていた。
キャピタル・ワンは最終的に、ハッキングに関連する集団訴訟の和解金として8000万ドルと1億9000万ドルを支払った。
36歳のトンプソン被告の判決言い渡しは9月15日に予定されている。通信詐欺は最高20年の懲役刑、保護されたコンピュータへの違法アクセスや損傷は最高5年の懲役刑が科される。
