米国は本日、信用調査会社エキファックスから1億4500万人の米国人の個人データを盗んだハッカーであるとして、中国軍兵士4人を刑事告訴すると発表した。
呉志勇、王倩、徐克、劉磊の4名は、人民解放軍(PLA)第54研究所ハッキングチームのメンバーだったとされ、Equifaxの顧客データベースへの不正アクセスの容疑で告発されている。米国司法省は本日、ウィリアム・バー司法長官が「中国とその国民による国家主導のコンピュータ侵入と窃盗の、憂慮すべき、容認できないパターン」を非難する中で、これらの4名を名指しした。
起訴状によると、「人民解放軍のハッカーらは、エキファックスのデータベースに保存されていた少なくとも1000万人のアメリカ人の運転免許証番号に加え、1億4500万人のアメリカ人被害者の名前、生年月日、社会保障番号を入手した」と述べ、さらに20万件のクレジットカード番号も盗まれたと付け加えた。
声明は次のように続けている。「したがって、たった一度の侵入で、人民解放軍は全アメリカ国民のほぼ半数の機密性の高い個人情報を入手したことになる。」
バー長官は声明で、「本日、我々は人民解放軍ハッカーらの犯罪行為の責任を追及する。そして中国政府に対し、我々にはインターネットの匿名性のベールを脱ぎ捨て、中国が繰り返し我々に対して投入するハッカーらを見つけ出す能力があることを改めて強調する」と述べた。
裁判所文書[PDF]によると、ハッカーらはApache Struts Web Framework上で稼働していたEquifaxのオンライン紛争解決ポータルの脆弱性を悪用した。ソフトウェアのセキュリティ上の欠陥を修正するパッチは既に公開されていたものの、Equifaxのインストールにはパッチが適用されておらず、セキュリティ上の問題があったとみられる。サーバーへのアクセスに成功した4人は、サーバー上で発見した認証情報を用いてウェブシェルをインストールし、データベースに対してSQLコマンドを実行したとされている。2017年のハッキング事件の詳細は、2018年末に発表された米国議会の報告書に記載されている。
検察は、4人が最初にサーバーにアクセスするために「Equifaxのネットワークに直接接続する2つの中国ベースのIPアドレス」を使用し、その後、さまざまなセキュアシェルソフトウェアや旧式のリモートデスクトップ接続を介して接続された「約20か国」の約34台のサーバーを使用して不正に入手したデータをダウンロードしたと主張している。
Equifaxは、あなた方に125ドルの負債を返済するために働かせるつもりだ:金曜日の夜にこっそり抜け出すルール変更
続きを読む
4人はエキファックスのデータベースを荒らしながら、自分たちの痕跡を隠すために、ハッキングに使われたレンタルインフラのログを毎日消去していたとされている。
100万人の英国人とカナダ人のデータも中国によって盗まれた。
規制当局である米国連邦取引委員会は、侵害の影響を受けた個人に対し、1人あたり125ドルの賠償金を請求できると約束しました。しかし実際には、Equifaxが請求を抑制し、支払総額を削減するために、さらに大きなハードルを設けることを容認してきました。®
ブートノート
大陪審はアメリカの奇妙な法的手続きであり、無作為に選ばれた約20人の国民が検察官とともに部屋に閉じ込められ、少なくとも半数の陪審員が第三者を刑事犯罪の容疑で裁判にかけることに賛成票を投じるまで退出が許されない。
