米司法省(DOJ)は7月25日(現地時間)、2007年からクレジットカード決済会社や小売店をターゲットに行われた大規模なデータ漏洩事件について、4人のロシア人、1人のウクライナ人の合計5人を起訴したと発表した。この事件は数十社のネットワークに不正にアクセスしてクレジットカード情報などを取得したもので、1億6000万件以上の情報が盗まれた世界最大のデータ漏洩事件といわれている。
最大の被害を受けたのは米国ベースのカード決済企業Heartland Payment Systemsで、同社だけで約1億3000万件のカード情報が盗まれた。被害額は約2億ドルにものぼるといわれている。このほかにも、Global Payment Systems、Visa Jordanなどのクレジットカード関連企業、Dow Jones、NASDAQ、JetBlue、Dixia、JCPenney、それにCarrefourや7-Elevenなどの小売り業が被害を受けたとされ、DOJでは16社の企業名を公開している。
起訴されたのは、ロシア国籍のVladimir Drinkman(32歳)、 Alexandr Kalinin(26歳)、Roman Kotov(32歳)、Mikhail Rytikov(26歳)、Dmitriy Smilianets(29歳)。これらの5人は、2人がネットワークに不正侵入してシステムへのアクセス権を獲得し、1人が価値のあるデータを盗むためにマイニングを行い、1人が盗んだ情報を販売していたという。これらの不正なハッキング活動を分からないようにするため、1人は匿名でのWebホスティングサービスを提供していたとのこと。なお、この件ではすでに主犯格と思われる米国人Albert Gonzales(32歳)が2008年に逮捕されており、懲役20年の有罪判決が下っている(現在服役中)。
被告らはSQLインジェクションなどの手法を利用してシステムに侵入してバックドアとなるマルウェアを仕組み、そこからモニタリングや解析を行うスニファを利用して情報を不正に取得していた。ターゲットとなった被害企業のセキュリティ対策によりアクセス権を失ったこともあったが、継続的な攻撃によりアクセス権を再獲得していたという。また、セキュリティ対策を回避するために数カ月がかりの攻撃を仕掛け、1年以上マルウェアが仕組まれていた企業も数社あるとのことだ。既存のセキュリティソフトウェアによる保護を回避したり、ネットワーク設定を変更して行動のログが残らないようにしていたとも報告されている。
取得したカード情報は世界中の窃盗ID情報の卸売り組織に販売され、その後オンラインフォーラム、個人や組織に売り渡されていた。米国のカード番号と関連情報は1件あたり10ドル、欧州の場合は1件50ドル程度で販売されていたという。最終的にこれらの情報を埋め込んだカードを製造し、これを利用してATMからの出金やカード決済ができた。
組織的犯罪を隠すための対策を多数講じていたのも特徴で、Webホスティングを担当していた者は他のメンバーのオンライン活動の記録を残さず、開示もしなかった。被告らはプライベートな通信チャネルを利用してやりとりしていたという。
DOJでは「米国で過去最大のデータ漏洩スキーム」としている。