2017年に起きた米信用情報会社「エキファックス(Equifax)」の情報漏洩は、機微な個人情報が盗まれた過去最大級の事件の1つだ。2月10日に米司法省が公開した起訴状によると、情報は中国軍のハッカーによって持ち出されていた。
ウィリアム・バー司法長官は、エキファックスへ不正アクセスし、企業秘密ならびに米国の人口の約半数にあたる1億4500万人分の個人情報を盗んだとして、中国軍に所属するハッカー4人を起訴したと発表した。
エキファックスのWebアプリケーション・ソフトウェアにおける重大な脆弱性が明らかになったのは2017年3月7日のことだ。その2カ月後には、この脆弱性を積極的に利用した中国人ハッカーが同社のネットワークやコンピューターに侵入し、個人の氏名や生年月日、社会保障番号といった秘密情報を盗んでいると米当局が発表した。だがその時点でもなお、エキファックスはシステムを更新しておらず、脆弱性の修正もしていなかった。
公開された起訴状には、ウー・ヂーヨン、ワン・チィェン、シュ・クバァ、リュウ・レイという4人のハッカーの名前が挙げられている。この4人は、中国人民解放軍第54研究所のメンバーだという。
2年間に渡る調査結果がまとめられた起訴状には、中国軍のスパイが膨大なデータに不正にアクセスし、盗み出し、逃げ去った様子が詳しく書かれている。ハッカーは「エキファックスのシステム上で約9000回のSQLクエリを実行」、「49のディレクトリを含むアーカイブを作成(中略)、600メガバイトごとに分割して、エキファックスのネットワークからオランダのサーバーへHTTP経由でデータを転送した」という。
「盗まれたデータには経済的価値があり、これらの窃取は中国の人工知能(AI)ツールの開発を促進する可能性があります」とバー長官は述べた。
「本日、我々は人民解放軍のハッカーに対し、彼らの犯罪行為に関して刑事責任を負わせました。またこれは、私たちがインターネットにおける匿名性の仮面を剥がし、中国が繰り返し米国に対して配備するハッカーを発見する能力がある、という事実を中国政府に知らしめる意味もあります」とバー長官は話した。「残念なことにエキファックスに対するハッキングは、個人を特定できる情報や企業秘密、その他の機密情報をターゲットとしている中国とその国民による、不穏で容認できない国ぐるみの不正アクセス、情報窃取に当てはまります」。
ここのところ中国人ハッカーの摘発が増えている。中国人ハッカーは、世界舞台で米国に挑戦し、追い抜くための手段の1つとして知財窃盗を仕掛ける中国の国家戦略に関わっているとされる。中国当局はハッキング容疑を繰り返し否定している。
