1億件以上のユーザー情報を盗みアメリカ史上最大級のデータ流出事件を起こした男の裁判が判決へ

2012年、LinkedInやDropbox、Formspringに対してハッキングが仕掛けられ、アメリカ史上最大級ともいわれるデータ流出被害が発生しました。この事件の犯人であるロシア人の男は2016年にチェコで逮捕されており、新型コロナウイルス感染症(COVID-19)のパンデミックによる裁判の中断を経て、2020年7月7日に有罪が宣告されたとのことです。

Russian Convicted of LinkedIn Hack Spent Years in Custody - Bloomberg
https://www.bloomberg.com/news/articles/2020-07-11/russian-convicted-of-massive-linkedin-hack-by-u-s-jury

Russian hacker found guilty for Dropbox, LinkedIn, and Formspring breaches | ZDNet
https://www.zdnet.com/article/russian-hacker-found-guilty-for-dropbox-linkedin-and-formspring-breaches/

有罪判決を受けたYevgeniy Nikulin被告人は、32歳のロシア人で、2012年にLinkedInなどに大規模なハッキング攻撃を仕掛け、実に1億1700万件ものユーザー情報を流出させました。この事件はアメリカ史上最大級のデータ流出事件の1つであり、データは闇市場で販売されてNikulin被告人は多額の利益を得ていたとのこと。

まず2012年3月に、Nikulin被告人はLinkedIn従業員のノートPCにマルウェアを感染させ、VPNを悪用してLinkedInの内部ネットワークに侵入しました。ここからNikulin被告人は1億1700万件ものユーザー名、パスワード、メールアドレスを含むログイン情報を入手し、さらにこのデータを使ってDropboxやFormspringにもフィッシング攻撃を仕掛け、内部のデータにアクセスしたそうです。

当初、Nikulin被告人が入手したデータはアンダーグラウンドの闇市場で販売されていたため、被害が判明することはありませんでしたが、2015年になって膨大なデータが外部からアクセス可能なプラットフォームで取引されていることが発覚。被害を受けたLinkedIn、Dropbox、Formspringが刑事告訴を行って捜査がスタートした翌年の2016年10月、Nikulin被告人はチェコをガールフレンドと旅行している最中に逮捕されました。

Nikulin被告人はデータを販売することでかなりリッチな生活を送っていたそうで、ランボルギーニ・ウラカンやベントレー・コンチネンタルGTなどの高級車や高給腕時計を所有していたとのこと。本人やロシア当局の反発を受けながらも、Nikulin被告人の身柄は2017年にアメリカへと引き渡されました。

司法省は2016年のアメリカ合衆国大統領選挙に対するロシアの干渉について、Nikulin被告人が何か情報を持っているのではないかと疑っていた模様で、それ以来、Nikulin被告人の身柄は拘束されたままでした。しかしNikulin被告人は司法取引には応じなかったばかりか、精神病による責任能力の喪失を疑われ、心理学者による検査を受けるといった事態も発生したそうです。

結果的にNikulin被告人の責任能力は認められたものの、2020年3月上旬にスタートした裁判は新型コロナウイルスのパンデミックにより中断。2度の延期を経て、2020年7月7日にようやく再開されました。この裁判では裁判官やNikulin被告人、弁護氏らがマスクを着用し、証言者はガラスパネル越しに証言を行うなど、新型コロナウイルスの感染防止に最新の注意が払われたとのこと。裁判所判事のWilliam Alsup氏は、もし裁判の出席者が今後2週間のうちにCOVID-19陽性と診断された場合、判事などを通じて他の全員に知らせると述べました。

裁判ではNikulin被告人が無罪を主張し、裁判官も検察側の証拠を集める努力について批判したものの、6時間の審議を経てNikulin被告人には有罪が宣告されました。最終的な判決が下るのは2020年9月29日の予定となっており、Nikulin被告人は盗んだデータの販売で懲役10年、さらに保護されたデバイスにマルウェアをインストールさせた罪で懲役10年、これに加えて共謀罪やハッキング、個人情報窃取の罪などで合計30年以上の懲役刑が下される可能性があると法務省は述べています。