米Uber元CSOがハッキングを隠蔽
大手配車サービス米Uberの元最高セキュリティ責任者(CSO)がビットコイン関連で司法妨害の疑いで告訴されている。
2016年、同社CSOだったJoseph Sullivanは、Uberをハッキングした犯罪者にビットコインで10万ドル(約1000万円)相当の口止め料を支払った。しかし、そのことを司法当局に報告せず隠蔽していたという。
事件の経緯
2015年から2017年の間、Joseph SullivanはUberの最高セキュリティ責任者を務めていたが、この間に2人のハッカーが電子メールで連絡を取ってきた。
ハッカーは約5700万人のUberユーザーとドライバーの個人情報を格納するデータベースに侵入し、情報をダウンロードしていた。そして、この件について高額の口止め料を要求した。
Sullivanは、このことを当局に報告せず隠蔽措置を取ったとされている。例えば、バグ報奨プログラム(セキュリティ上の問題を見つけた者へ報奨金を支払うプログラム)を装って、ハッカーに報酬を支払おうとしたという。
最終的にUberは2016年12月に、10万ドルに相当するビットコインをハッカーに支払った。この時点でハッカーは実名を明かすことを拒否していた。
さらにハッカー達に、データを持ち出したり保存したりしていないという虚偽の文言を含む契約書に署名させようとした。
その後Uberのチームはハッキングに関与した2人の個人を特定することが出来たが、この際Sullivanはハッカーに実名で新たな秘密保持契約書に署名させた。2017年に新たな経営陣に入れ替わった後こうした隠蔽工作が発覚し、Uberは2017年にハッキングについて公にした。
告訴状では、Sullivanが事件についてUberの新経営陣を欺いたとも述べられている。元CSOは新経営陣にハッキングに関する重要な情報を提供せず、「実名が特定された後にハッカーに支払いを行った」と事実と違う報告を行っていたという。
尚、Uberが身元を突きとめた2人のハッカーは、カリフォルニア州で起訴され、昨年コンピューター詐欺共謀罪で有罪を認め、現在は判決を待っている状態だ。
犯人達は、Uberをハッキングした後、他のテクノロジー企業のユーザーデータの不正取得にも成功していたことが報じられた。
弁護側の意見
一方、Joseph Sullivan側の代表を務めるBradford Williamsは、サイバーセキュリティの専門家として尊敬されるSullivanを告発するメリットはないとして次のように述べた。
この事件は、世界有数のセキュリティ専門家で構成されたUberによるデータセキュリティ調査に焦点を当てるものだ。そもそもSullivanと彼のチームの努力がなければ、この事件の犯人が特定されることはなかっただろう。
サイバー犯罪の捜査能力は近年向上中
今回、Uberがどのようにしてハッキング犯人の身元を突きとめたのか、その詳細は明かされていないが、サイバー犯罪が増加するにつれ、捜査側の能力も向上している。
仮想通貨を使用する犯罪についても捜査能力強化が求められており、米国では2021年会計年度に様々な省庁が、仮想通貨関連の監視や捜査を行うための予算を請求した。背景には、金融犯罪やインターネット上の犯罪は、テロリストの資金調達と密接に関わりかねないと指摘されていることもある。
特に内国歳入庁(IRS)や海外資産管理局(OFAC)は関連対策を大幅に拡大することを示唆。シークレットサービスも、仮想通貨や金融市場に関する犯罪の捜査効率を上げることを望んでいるという。
参考:justice.gov
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します