Sentry MBA を使って国営宝くじをハッキングし、わずか 5 ポンドを奪って逃走したロンドン市民は、その罪で最長 9 か月の懲役刑を受けることになる。
ロンドンのノッティングヒル、ランカスターロードに住むアンワル・バトソン容疑者(29)は、2016年に英国宝くじのウェブサイトにハッキングを働いた犯罪者グループの一員だった。
検察官のスキ・ダダ氏は今朝、サザーク刑事法院でバトソン氏がSentry MBAをダウンロードし、ソフトウェアの設定ファイルについて議論したり交換したりするチャットグループに参加したと述べた。
アンワル・バトソン
ロンドン在住で一児の父でもあるこの男性は、他の人々に「ハッキングの方法をアドバイス」し、「セントリーMBAを使って他人のアカウントをハッキングできるようにした」とダッダ氏は語った。
ブルートフォース攻撃ツールである Sentry MBA は、Web サイト固有の構成ファイルを使用して、他の場所から収集または盗まれたユーザー資格情報のテストを自動化します。
バトソンは「Rosegold」というチャットハンドルを使って、イドリス・アキンウンミやダニエル・トンプソンを含む他のメンバーと、これらの設定ファイルの詳細や、宝くじウェブサイトへのSentry MBAの導入方法について話し合いました。警察はウェブサイトへの攻撃に使用されたIPアドレスの1つをアストン大学まで追跡し、アキンウンミはすぐに身元を特定され、逮捕されました。
尋問とコンピューターの検査でチャットログが見つかった後、アキンウンミ氏は「ローズゴールド」からセントリーMBAの使い方を学んだと語った。
仲間のハッカーから5ポンドを受け取った
「彼はローズゴールドの指示に従い、ローズゴールドと収益を分配することに同意した」とダダ氏はジェフリー・ペグデンQC判事に述べた。バトソン氏の弁護人であるダニエル・カーシュ弁護士は、「彼らは取り決めを交わした。バトソン氏はセントリーMBAの学位を彼に送り、アキンウンミ氏がそれを使って何をしようと、彼に分け前が渡されるという内容だった。実質的には、これが彼の関与だった」と付け加えた。
こうして、国営宝くじの当選者だったイアン・ベントレー医師は、口座残高の13ポンドすべてを失いました。アキンウンミは、盗んだ金額のうち5ポンドを、法廷でエドウィン・ソルターと名乗る仲介人の銀行口座を通じてバトソンに送金しました。
2017年5月10日、バトソンはノッティングヒルの自宅で逮捕された。当初、彼は国営宝くじのハッキング事件への関与を否定し、「オンライン荒らしの被害者」であり、自分のデバイスが「荒らしやハッキングの被害に遭い、他人が彼のラップトップにアクセスできた」と主張した。最終的に12月に有罪を認めたが、ウェストミンスター治安判事裁判所での初公判では答弁を求められなかった。
2 本のデジタル ストレージ スティックを含む彼のデバイスを調べたところ、捜査官がアキンウンミのマシンで見つけたのと同じチャットのコピーと、バトソンが Sentry MBA を使用してベントレー博士のアカウントにアクセスした証拠が明らかになりました。
カーシュ氏は依頼人の罪を軽減するため、バトソン氏の雇用主が裁判所に提出した人物推薦書を判事に提示した。弁護士が依頼人の過去について話している間、その書類を覗き込み、ペグデン判事はこう尋ねた。「彼は今回の訴訟について雇用主に伝えましたか?最後の段落には、彼が何らかの職に応募するための推薦文があるようです。『アンワル・バトソン氏がどのような職に応募しようとも、私は彼を推薦します』とあります。裁判所に向けたものではないように思われます。」
カーシュはガラス張りの被告席に座るバトソンの方を向いた。バトソンは頷いた。「彼は雇用主に話しました」と弁護士は確認した。
宝くじ運営会社キャメロットの最高情報セキュリティ責任者(CISO)デビッド・ボダ氏の法廷で読み上げられた声明によると、同社はハッキングへの対応に23万ポンド(約3000万円)を費やし、ハッキング後の報道によって250人の顧客がアカウントを閉鎖したと述べている。さらに、ハッキングを阻止するために人員を確保するために延期せざるを得なかったスタッフ研修イベントにも4万ポンド(約500万円)を費やしたとされている。セキュリティ担当者は、多数のIPアドレスがユーザーアカウントにアクセスしているのを発見した。これは、バトソン氏、アキンウンミ氏らが違法行為を行っていた最初の兆候だった。
悪化要因と軽減要因
判決を言い渡したペグデン判事は、「私の見解では、あなたの犯罪の重大性は、ハッキングや詐欺によって生じた損失にあるのではありません。確かに、それらは軽微なものでした。しかし、あなたが標的にしたのは、毎週約3,000万ポンドを選ばれた慈善団体に寄付している大規模な慈善団体、すなわち国営宝くじだったという事実にあります」と述べた。
裁判官は続けた。
バトソン被告の弁護人であるカーシュ氏は、ハッカーの母親が犯行の6か月前に45歳で亡くなり、祖母も犯行直後に亡くなったと説明していた。ペグデン判事は、加重事情と酌量事情は互いに相殺し合うとしながらも、バトソン被告の有罪答弁に言及し、「法律はこの点について極めて明確であり、減刑は25%であるべきであり、またそうでなければならない」と述べた。
アンワル・バトソンは、1990年コンピュータ不正使用法に基づく4件の罪状に加え、判決公判開始時に追加された詐欺罪についても有罪を認めました。彼はすべての罪状に対し、懲役9ヶ月の判決を言い渡されました。彼のノートパソコンと2本のメモリスティック(そのうち1本には「Sentry MBA」というフォルダと「動作可能な」ソフトウェアのコピーが含まれていました)は没収され、破棄されるよう命じられました。彼は訴訟費用として250ポンドを支払い、ベントレー博士への5ポンドの賠償金と法定被害者付加税を返還しなければなりません。
他に3件の容疑がファイルされる予定だ。
無地の白いシャツと青いジーンズを着て、刑期用の黒い大型バッグを背負ったバトソンは、判決が言い渡されるとうなずき、裁判官に解散を命じられると独房へと歩いていった。®
ブートノート
クリスマス前の別のコンピュータ不正使用法ハッキング事件では、航空会社 Jet2 の Active Directory ドメイン上のすべてのアカウントを故意に削除しようとしたハッカーが 15 か月の刑を宣告されましたが、実際には 5 か月しか服役しません。®
2020年1月10日15時19分GMTに更新
宝くじ運営会社キャメロットは、「当社はプレイヤーの保護を非常に重視しています。違法行為があったと判断した場合は、適切な執行機関に躊躇なく報告し、捜査に協力します。2016年に遡るこの事件が終結したことを嬉しく思います。判決を歓迎します」とコメントしました。
