ハッキンググループ「Lapsus$」の主要メンバーとされる18歳のハッカーArion Kurtaj氏について、英検察は、同氏が『Grand Theft Auto』(以下、GTA)シリーズ新作の開発中データを流出させると脅迫するなどの罪状で起訴していることを明かした。一方で複数の精神科医らの評価の結果、Kurtaj氏は裁判を受けるのに適さないと判断されたという。Reutersが報じている。
昨年の9月18日、『GTA』シリーズの非公式フォーラムGTAForumにてとあるユーザーが、開発中の『GTA 6』の映像であるとして90本の映像ファイルを投稿。『GTA V』のソースコードなどさらなる流出をほのめかし、Rockstar Gamesやその親会社Take-Two Interactiveに対して交渉を持ちかけるようなコメントを残していた。翌19日、Rockstar Gamesは違法な手段によって侵入を受け機密情報が流出したと声明を発表。9月23日に、イギリスのロンドン市警察は当時17歳のKurtaj氏を2件のコンピュータ不正使用罪の疑いで逮捕していた(関連記事)。
検察官のKevin Barry氏が陪審で述べたところによると、逮捕されたKurtaj氏はハッキンググループ「Lapsus$」の主要メンバーだという。Kurtaj氏はRockstar GamesやUber 、NVIDIAなど複数の企業に対しての不正アクセスに関与した疑いがあり、3件の恐喝、2件の詐欺のほか、6件のコンピュータ不正使用罪などをあわせた、延べ12件の罪状で起訴されていた。不正アクセスの被害を受けた金融アプリ大手Revolutは5000名ほどの顧客情報が流出し、Uberは300万ドル近く(約4億円)の損害を出したという。一方でKurtaj氏は複数の精神科医らによって、裁判を受けるのに適さないと判断されていることが報じられている。今後の陪審ではKurtaj氏の有罪か無罪かについて評決されることはなく、同氏が事件に関与したかどうかの事実のみが判断されることになるという。またThe Recordによると、Kurtaj氏について当初敷かれていた報道規制については解除されたとのこと。
また、Kurtaj氏とは別に、現在17歳のLapsus$のメンバーも逮捕されている。この17歳の容疑者は法的理由から氏名が非公開。同容疑者は、イギリス通信事業者最大手BT Groupへの恐喝や、ロンドン市警察のクラウドストレージへの不正アクセスなどに関与した疑いがあり、2件の恐喝と2件の詐欺、3件のコンピューター不正使用罪で起訴されている。うち1件の詐欺と2件のコンピューター不正使用罪については容疑をすでに認めているが、一部の容疑については否認しているとのこと。こちらの容疑者については、裁判が継続されているという。
Lapsus$は有名な大企業を狙って攻撃することで悪名高く、昨年3月にはマイクロソフトやユービーアイソフトなどを攻撃したことが明らかになっている。その際Lapsus$の主犯格を含むメンバーの7人が逮捕されたが、その後仮釈放されており活動終息には至らなかったようだ(BBC)。手口としてはランサムウェアは使用せず、不満をもっている社員を買収したり、ソーシャルエンジニアリング攻撃やマルウェア、海外フォーラム上で“購入”したパスワードなどを用いて私的アカウントに侵入したりといった方法で正規の認証情報を入手していた点が特徴とされている(GIZMODO)。なおソーシャルエンジニアリング攻撃とは、人の社会性といった側面を攻撃に利用。eメールなどの窓口を通じてヒューマンエラーを狙い、機密情報をだまし取る手口である(ITmedia)。
大企業は技術的には高いレベルのセキュリティを保っていると思われる一方で、膨大な数の社員を完璧に管理し、パスワードの不適切な運用などを取り締まるのは難しい側面もあるだろう。Lapsus$のやり口は大企業の隙をつくことに特化しているといえそうだ。サイバー犯罪が年々活発かつ巧妙になっているといわれるなか、一連の事件の調査が進み今後の犯罪抑止の助けとなることが期待される。
