米検察当局は本日、元マイクロソフト社のソフトウェアエンジニアが火曜日に逮捕され、元雇用主から1,000万ドル相当のデジタル通貨を盗もうとしたとして郵便詐欺の罪で起訴されたと発表した。
ワシントン州レントン在住のウクライナ国籍、ヴォロディミル・クヴァシュク氏(25歳)は、当初マイクロソフトで契約社員として勤務し、2016年8月に社員として採用され、2018年6月に解雇されるまで勤務していた。
シアトルの米国連邦地方裁判所に提出された検察側の訴状[PDF]によると、クヴァシュク氏はマイクロソフトの電子商取引業務を担当するユニバーサルストアチーム(UST)のメンバーだった。
USTは「マイクロソフトのすべての商取引にOne Universal Storeをもたらすという使命を持つ、マイクロソフトの主要な商業エンジンです」と、マイクロソフトのAzure DevOpsプロダクトオーナーであるサム・ガッケンハイマー氏は2017年に説明しました。「USTは、マイクロソフトが販売するもの、そして他社が同社を通じて販売するものすべてを網羅しています。消費者向けと商業向け、デジタルと物理、サブスクリプションとトランザクション、あらゆるチャネルと店頭を通じてです。」
訴状に記載されているように、USTのメンバーは、Microsoftオンラインストアにダミーの顧客アカウントを設定し、特別に作成したメールアドレスとテスト用のクレジットカードにリンクさせて、実際の請求を発生させずにストアでの購入を可能にしました。その後、チームメンバーはテストアカウントをホワイトリストに登録し、Microsoftのセキュリティおよびリスク軽減システムを回避しました。
「安全策なし」
しかし、マイクロソフトはテストシステムの設計において、重大な攻撃経路を見落としていました。訴状では、「テストプログラムは物理的な商品の配送をブロックするように設計されていました」と説明されています。「マイクロソフトは、テスターがデジタル通貨(「Currency Stored Value(CSV)」)のテスト購入を行うことを想定していなかったため、CSVの配送を防ぐための安全策が講じられていませんでした。」
テスターはMicrosoftのデジタルギフトカードのテスト購入を行い、有効なプロダクトキーを取得できます。このプロダクトキーは、購入者のアカウントに紐付けられたデジタルウォレットにチャージされます。チャージされた電子マネーは、Microsoftストアでデジタル版または物理版のMicrosoft製品を購入する際に使用できます。
クヴァシュク容疑者は、自分でマイクロソフト製品を購入し、その通貨の多く(1,000万ドル相当と主張)を額面価格より安く第三者に売却したとされている。
GiftGhostBotはブルートフォース攻撃で被害者のギフトカードの現金を奪う
続きを読む
この計画は2017年に始まったとされ、年俸11万6000ドルのクヴァシュク氏がワシントン州レントンに16万2000ドルのテスラと160万ドルの住宅を購入するまでにエスカレートした。
訴状によると、クヴァシュク氏はマイクロソフトのUST詐欺捜査ストライクチーム(FIST)によって抹殺された。同チームは2018年2月、マイクロソフトのXboxゲームシステムのサブスクリプション購入にCSVが使用されるケースが不審に増加していることに気づいた。捜査官らは、2つの異なるウェブサイトで転売されていたデジタル資金が、ホワイトリストに登録された2つのテストアカウントに由来していることを突き止めた。
そこからFISTは、関係するアカウントと取引の追跡を進めました。米国シークレットサービスと内国歳入庁の協力を得て、捜査官は、偽アカウントで身元を隠したり、ビットコインミキシングサービスを利用してパブリックブロックチェーンの取引を隠したりしていたにもかかわらず、クヴァシュクがマイクロソフトを詐欺したと結論付けました。
訴状では、クヴァシュク氏を示唆するサービスプロバイダーの記録に加え、マイクロソフトのオンラインストアが「ファジーデバイスID」と呼ばれるデバイスフィンガープリンティング方式を使用していると指摘されている。捜査官は、特定のデバイスIDをクヴァシュク氏に関連するアカウントに関連付けたと主張している。
当局は、クヴァシュク氏が国外逃亡や司法妨害を試みる可能性があるとして、拘留を求めている。郵便詐欺で有罪判決を受けた場合、元マイクロソフトのソフトウェアエンジニアであるクヴァシュク氏は、最長20年の懲役と25万ドルの罰金を科される可能性がある。®
