アメリカ最大級の医療機関UPMCの従業員個人情報65,000人分が盗まれダークウェブで販売、さらに不正還付金受給:犯人はすでに逮捕

UPMC

ミシガン州デトロイトのジャスティン・ショーン・ジョンソン(Justin Sean Johnson)(30歳)が、医療機関であり保険会社でもあるUniversity of Pittsburgh Medical Center(UPMC)の65,000人の従業員の個人識別情報(PII)を盗み、ダークウェブで販売した罪で起訴されました。

UPMCは、ペンシルバニア州最大の医療機関で40の病院と700の医院・外来で9万人以上の従業員を雇用しています。

ジョンソン(ダークウェブ上では「TheDearthStar」や「Dearthy Star」とも呼ばれる)は、昨年2020年5月に提出された43件の起訴状で、共謀罪、有線詐欺罪、加重個人情報窃盗罪で起訴されています。

https://assets.documentcloud.org/documents/6953132/W-D-Pa-2-20-Cr-00094-MRH-3-0.pdf

ジャスティン・ジョンソンは、ペンシルバニア州最大の医療機関UPMCの全従業員の氏名、社会保障番号、住所、給与情報を盗んだ罪に問われています。

ジョンソンはハッキング後、UPMCの従業員のPIIをダークウェブのマーケットプレイスで世界中の購入者に販売し、その購入者がさらなる詐欺や窃盗の大規模なキャンペーンを行っていることがわかりました。

1ヶ月で数万人分のデータが盗まれる

ジョンソンは2013年12月初旬にUPMCの人事管理システム「Oracle PeopleSoft」をハッキングし人事データベースネットワークに侵入。

さらに侵入した人事データベースでテストを実行した後、UPMCの従業員約23,500人のPIIにアクセスしていたことがわかっています。

2014年1月21日から2月14日にかけて1日に何度もデータベースにリモートでアクセスし続け、数万人のUPMC従業員のPIIを流出させていました。

ジョンソンは、盗んだデータをEvolutionやAlphaBay Marketなどのダークウェブマーケットプレイスで購入者に販売し、そのデータを使用して連邦所得税のフォーム1040、1040、1040EZを不正に申告。還付金を不正に受け取っていたこともわかっています。

起訴状によると不正に提出された連邦税の還付金は1億7,000万円(170万ドル)にのぼり、その後にアマゾンギフトカードに変換、マイアミの再発送サービスを経由してベネズエラに送金されていました。

https://www.justice.gov/usao-wdpa/pr/michigan-man-arrested-2014-hack-upmc-hr-databases-and-theft-employees-personal

ジョンソンは、盗んだUPMC従業員のデータを売って得たお金で購入した暗号通貨をCoinbaseの口座に入金。またUPMCの侵害された人事データベースから約65,000人の従業員のPIIを販売した以外にも2014年から2017年の間に約90,000人の追加の(UPMC以外の)PII情報を盗んで販売しており、そのすべてが購入者が個人情報の窃盗や銀行詐欺を行うために使用されている可能性がありました。

判決を待たずに拘留

ジョンソンは最高で懲役5年、最高で25万ドルの罰金、加重個人情報窃盗の各カウントについては、強制的に懲役2年、最高で25万ドルの罰金を科されることになります。

司法省のプレスリリースによるとジョンソン被告の起訴に至る捜査は、内国歳入庁刑事局、米国シークレット・サービス、米国郵便検査局、国土安全保障省の捜査官によって行われ有罪答弁後に裁判所が命じたとおり、判決が出るまで拘留されています。

https://www.justice.gov/usao-wdpa/pr/former-michigan-resident-admits-hacking-upmc-hr-databases-and-stealing-employees

ジョンソンのようなハッカーは、当事務所が身柄を確保して罪を償うまで執拗に追跡することを知るべきと、ブラディ連邦検事は述べています。

米国シークレット・サービスのティモシー・バーク特別捜査官は、「医療分野は、個人情報を更新して詐欺に利用しようとするサイバー犯罪者にとって魅力的なターゲットとなっています。シークレット・サービスは、自らの利益のために国家の重要なシステムに対する犯罪に従事する者を検知し、逮捕することを約束します」と付け加えています。

https://www.justice.gov/usao-wdpa/pr/michigan-man-arrested-2014-hack-upmc-hr-databases-and-theft-employees-personal

Leave a Reply

Your email address will not be published.