JPモルガン・チェース社ハッキング事件 -どのように漏洩データが利用されたか-

2014年に報道されたJPモルガン・チェース社のハッキング事件に関連したとされる容疑者が逮捕されています。

この事件では、従業員宛に大量のマルウェア付きのメールが送信されています。マルウェアはJava, Flash, Internet Explorerなど複数の脆弱性を利用して感染しています。
メールを開き、マルウェアに感染してしまった数人の従業員のPCを足がかりにウェブサーバーを内部から攻撃し、ハッキング用ツール"Rig Exploit Kit"を仕込んだとされています。
口座そのものに対する攻撃など経済的被害はなく、情報の窃取に止まったとされていました。

今回の逮捕に関する米エコノミスト紙の記事で、実際にどのように情報を利用したかについて言及されています。
"What lies behind the JPMorgan Chase cyber-attack" The Economist

今回の容疑者の罪状に、不法なインターネット・カジノの経営、他の犯罪行為の収益の取り扱い、競合企業のコンピューターへの侵入、株式市場の操作、などが含まれています。12社にわたって窃取した1億件ものデータを様々な手法で利用したことが伺われます。

盗んだデータのもっとも簡単な利用例として、詐欺行為をはたらく対象を抽出するためのデータとしての利用が挙げられています。

犠牲者に勧誘電話をかけ、ほとんど無価値の株を買わせます。これにより、取り引きが薄かった株の価値が上がり、この株を予め買っておいた犯罪グループがそこから利益を得ます。「風説の流布」の一種であり、証券取引の歴史と同じくらい古典的な手法といえますが、これまでにないスケールとスピードによる犯罪行為を、インターネットが可能にしています。

容疑者たちは、エジプトと南アフリカ、ブラジルのサーバーを偽名で借りていました。また、キプロスで資金を洗浄し、アゼルバイジャンで違法なクレジットカード決済処理を行っていました。

三人の容疑者は、犯罪のエキスパートではあるものの、コンピュータ犯罪の専門家ではないようです。情報窃取に必要なツールを自分で開発することなく買うことで、大規模なハッキングを実現したと見られています。