米検察当局によると、ファンタジースポーツおよび賭博プラットフォームに対する大規模なサイバー攻撃に関与したとして告発されていたミネソタ州の男性が、有罪答弁を行った。
この事件は、クレデンシャル・スタッフィングの手口により数万件のユーザーアカウントが侵害され、被害者に大きな金銭的損失が生じたものだ。
ミネソタ州ファーミントン在住のネイサン・オースタッド(21歳、オンライン上では「Snoopy」としても知られる)は、先週金曜日に法廷で、コンピューター侵入を共謀した罪を認めた。
同氏は、このハッキング・キャンペーンに関連して有罪を認めた3人目の人物となる。検察によれば、オースタッドと共謀者らは2022年11月に賭博サイトを標的とし、盗まれたログイン認証情報を用いてユーザーアカウントへ不正アクセスした。
裁判資料によると、6万件超のアカウントが侵害に成功した。多くのケースで、攻撃者は自らが管理する新たな支払い方法を追加し、既存残高を引き出した。
この手口により、約1600人の被害者からおよそ60万ドルが盗まれた。乗っ取られたアカウントへのアクセス権は、侵害アカウントの売買を専門とするオンライン・マーケットプレイスでも販売されていた。
攻撃はクレデンシャル・スタッフィングに依拠していた。これは、過去のデータ侵害で入手されたユーザー名とパスワードの組み合わせを用いる手法である。ユーザーが同じログイン情報を使い回していることを期待して、それらの認証情報が賭博サイトに対して体系的に試行された。アクセスに成功すると、アカウントは空にされるか、第三者に売却された。
検察は、オースタッドがそのようなオンラインショップの一つを自ら運営し、暗号資産口座を管理しており、同スキームに関連する収益を含む約46万5000ドル相当のデジタル資産を受け取っていたと述べた。
捜査当局はまた、オースタッドが捜査が進行中であることを認識していたと示すメッセージも発見した。あるやり取りでは、参加者は法執行機関の監視を予期すべきだったとコメントし、別のメッセージでは、その行為が犯罪であることを認めていた。
クレデンシャル・スタッフィング攻撃について詳しく読む:オーストラリアの年金加入者がクレデンシャル・スタッフィング攻撃の波の被害に
裁判資料では被害を受けた賭博プラットフォーム名は明らかにされていないが、事実関係は、2022年11月にDraftKingsが、クレデンシャル・スタッフィング事件で約6万8000件のユーザーアカウントが侵害されたと発表した内容と一致する。
その侵害に関与した別の2人、ジョセフ・ギャリソンとカメリン・ストークスは、すでに有罪を認めている。ギャリソンは2024年初頭に禁錮18か月の判決を受け、ストークスは2024年4月に有罪答弁を行った。
オースタッドは最長で禁錮5年の刑に直面している。量刑言い渡しは2026年4月10日 に予定されている。
翻訳元: https://www.infosecurity-magazine.com/news/defendant-pleads-guilty-fantasy/
