米司法省(DOJ)は現地時間2013年7月25日、大手企業のネットワークに侵入し、1億6000万人以上のクレジットカード番号を盗んだとしてロシア国籍4人とウクライナ国籍1人の計5人を起訴したと発表した。被害額は数百万ドルにのぼると見られる。
起訴状によると、5人は共謀して米NASDAQ、米7-Eleven、フランスCarrefour、米JCPenney、米Dow Jonesなど十数社のネットワークを攻撃し、不正にデータにアクセスした。
それぞれ役割が決まっており、ネットワークに侵入して企業システムにアクセスする者が2人。セキュリティ侵害されたネットワーク内で高価な情報を見つけて盗み出す者が1人。犯行に使用する匿名のWebホスティングサービスを提供する者が1人。盗んだ情報を販売する者が1人となっている。
最初にSQLインジェクションの手口を使ってネットワークに入り込み、バックドア型マルウエアを被害システムに投下すると、不正なアクセスを維持して重要なデータを盗み、盗んだデータを第三者に売りさばいていた。複数の企業のサーバーに1年以上マルウエアを潜り込ませており、米メディアの報道(New York Times)によると2005年から2012年まで不正アクセスを行っていたという。
5人のうち2人は身柄を拘束しているが、3人は逃走中でまだ逮捕していない。有罪判決が下された場合、コンピュータへの未承認アクセスを取得した罪およびその共謀罪には最大で禁固5年、ワイヤ詐欺(電子通信手段による詐欺)罪およびその共謀罪には最大で禁固30年が科される可能性がある。
[発表資料へ]
