米国司法省は、2017年にEquifaxをハッキングし、少なくとも1億4500万人の個人情報が盗まれた事件で、中国軍関係者4名を起訴したと発表しました。社会保障番号、住所、運転免許証情報の盗難は、米国史上最大の消費者データハッキング事件とされています。
司法省のプレスリリースによると、ハッカーらはEquifaxが紛争解決に利用していたウェブポータルの未公表の脆弱性を悪用し、ログイン認証情報を入手した疑いがある。被告4人はいずれも人民解放軍(PLA)の隊員で、オンラインに掲載された起訴状によると、呉志勇、王倩、徐克、劉磊の4名である。
被告らは、コンピュータ詐欺共謀罪、経済スパイ共謀罪、通信詐欺共謀罪の3件で起訴されている。さらに、不正コンピュータアクセス2件、経済スパイ1件、そして通信詐欺3件でも起訴されている。
司法省によれば、被告4人は数週間かけてクエリを実行し、エキファックスのデータベース構造を解明し、機密情報を特定した。
司法省によると、「共謀者は関心のあるファイルにアクセスすると、盗んだ情報を一時出力ファイルに保存し、ファイルを圧縮・分割し、最終的にエキファックスのネットワークから米国外のコンピューターにデータをダウンロードして持ち出すことができた」という。
司法省によると、ハッカーらは自身の所在地を隠すためにトラフィックを「約20カ国」にルーティングし、Equifaxネットワーク上の通常の活動に紛れ込むために暗号化された通信チャネルを使用していたとされている。また、ハッカーらは痕跡を隠すために毎日ログファイルを消去していたとされている。
ウィリアム・バー米司法長官がオンラインで配信された記者会見で発表した起訴状は、米国政府がエクイファックスへのハッキング事件の背後に中国がいると正式に非難した初めてのケースだ。
「これはアメリカ国民の個人情報への意図的かつ広範な侵害だった」とバー長官は声明で述べた。「本日、我々は人民解放軍ハッカーの犯罪行為の責任を問う。中国政府に対し、我々はインターネットの匿名性のベールを脱ぎ捨て、中国が繰り返し我々に対して投入するハッカーを見つけ出す能力を有していることを改めて強調する。」
バー氏は記者会見で、米国は世界中で独自の情報収集を行っているが、それは「合法的な」スパイ活動のみだと述べた。
「残念ながら、エキファックスへのハッキングは、個人を特定できる情報、企業秘密、その他の機密情報を狙った、中国とその国民による国家主導のコンピューター侵入と窃盗の憂慮すべき、容認できないパターンに当てはまる」とバー氏は続けた。
バー司法長官は、ドナルド・トランプ大統領の弁護士ルディ・ジュリアーニ氏と、民主党の大統領候補ジョー・バイデン氏の汚職を暴くためにウクライナに介入した件について記者から質問を受けた後、記者会見場から退席した。他の司法省職員が彼の後を引き継ぎ、記者会見を最後まで終えた。
米国が中国軍のハッカーを起訴したのは、史上2度目となる。オバマ政権は2014年、ウェスティングハウス・エレクトリックやユナイテッド・スチールなどの企業にハッキングを行い、企業秘密を盗んだとして、「UglyGorilla」と「KandyGoo」を含む人民解放軍メンバー5人を起訴した。
米国と中国は犯罪人引渡し条約を結んでいないため、本日起訴された4人の被告のうち、誰かがアメリカ当局に逮捕される可能性は低い。
