今週3月28日、ロンドン刑事裁判所は、任天堂に対するネットワーク不正アクセスなど複数の罪で起訴されたZammis Clarkに対し判決を下した。24歳のClarkは過去にセキュリティソフト会社Malwarebytesで研究者として働いており、オンライン上ではSlipstream、Rayleeといった名でも知られていた。裁判で罪を認めているものの、悪意あるハッカー(クラッカー)Clarkは、実刑を免れた。
海外メディアThe Vergeによれば、ClarkはVPN(仮想プライベートネットワーク)サーバーを経由して任天堂のサーバーへアクセスしたとされている。Clarkは、任天堂のサーバー上にウェブシェル(WebShell)を設置する手口でデータを盗み出したようだ。悪意のある侵入者は、ウェブシェルを設置することで、サーバーのアクセス権を獲得および維持することが可能になり、バックドアとしていつでも自由にサーバーに出入りできるようになる。侵入された任天堂のサーバーには、未発表のゲーム開発コードを含む機密性の高い情報も含まれており、2018年5月に同社が侵入に気づくまでの間、Clarkは2365件のユーザー名とパスワードを盗むことが可能だったとされている。
今回起訴されたClarkは過去にも、2015年に起きた香港の玩具メーカーVTechの顧客情報漏洩に関与し逮捕されている。その際には約1170万件のアカウントが被害を受け、氏名や住所、暗号化されたパスワード、秘密の質問と答え、ダウンロード履歴などが流出した。VTechは、流出によって子供のプライバシーが侵害されたとして計65万ドル(約7200万円)の罰金を科されている。
Clarkの犯行はそれだけにとどまらない。2017年1月24日には、今回と同様の手口でマイクロソフトのサーバーへも不正侵入を行っている。Clarkは、サーバー側のユーザーアカウントである内部ユーザー名とパスワードを使用して、同社サーバーへ不正に侵入。やはりウェブシェルを設置したあと、ネットワーク上にファイルをアップロードしたりデータをダウンロードするための、複数のシェルをアップロードしていた。
その際、マイクロソフトのサーバーは少なくとも3週間にわたって無防備な状態に置かれている。Clarkはマイクロソフト社内のフライトサーバーに侵入し、プレリリース版Windowsのコピーを含む約43000ファイルを不正に盗み出すなど、やりたい放題だったようだ。さらにClarkは、IRCチャットでマイクロソフトのサーバーへの侵入路をクラッカー仲間と共有。検察によれば、フランス、ドイツ、アラブ首長国連邦など、世界中から悪意あるハッキング(クラッキング)が行われたという。
その後、マイクロソフトのサイバー犯罪対策チーム、FBI、ユーロポール、NCCU(NCAの国際サイバー犯罪対策ユニット)の捜査の結果、Clarkの自宅PCから盗まれたファイルが発見された。2017年6月、Clarkはマイクロソフトのサーバーにマルウェアをアップロードした罪で逮捕されている。しかしその際、ClarkはPCへのアクセス制限などを科されることもなく保釈。保釈後すぐに、反省することなく任天堂のネットワークに不正アクセスを行ったことになる。
今回の裁判にあたり、Clarkの弁護人は以下のように語っている。
「Clarkは自閉症と相貌失認(他者の顔が見分けられない脳障害による失認の一種)を患っており、収監された場合ほかの囚人の暴力から身を守ることができない。また、投獄されるようなことになれば彼の再犯率はより高くなるだろう」
裁判官は、Clarkの母親が息子の自閉症のリハビリのために仕事を辞めざるを得なかったことや、今回の事件が負担になったことなどを考慮。懲役15か月、執行猶予18か月の判決を言い渡した。重大犯罪への危害防止命令も科されており、違反した場合は無制限の罰金および最高5年の懲役が科される。この判決の意味するところは、Clarkはまたしても収監を免れたということでもある。裁判官は「今回のことからあなたが教訓を得て学んでくれるものと信じている」としている。
一連の被害総額に関して、マイクロソフトは約200万ドル(2億2000万円)、任天堂は91万3000ドル(約1億円)から180万ドル(約2億円)にのぼるとしている。
