ゲッティイメージズ
連邦検察は、上場企業幹部のOffice365アカウントに侵入し、公表前に四半期財務報告書を入手して数百万ドルを稼いだ「ハッキング・トゥ・トレード」計画の容疑で男性を起訴した。
この訴訟はニュージャージー州地方連邦検事局が起こしたもので、英国国籍のロバート・B・ウェストブルック氏が2019年と2020年に、違法に入手した情報を利用した株式取引で約375万ドルを稼いだとして告発されている。検察官によると、同氏はアクセス後、株式取引を実行したという。事前通知により、彼は一般の人々ができる前に情報に基づいて行動し、利益を得ることができました。米証券取引委員会はウェストブルック氏に対し、民事罰金の支払いと不正利得の返還命令を求めて別の民事訴訟を起こした。
安く買って高く売る
「SECはサイバー詐欺の影響から市場と投資家を守る継続的な取り組みに取り組んでいる」とSECの暗号資産・サイバー部門の責任者代理であるホルヘ・G・テンレイロ氏は声明で述べた。 「この事件が示すように、ウェストブルックは匿名の電子メール アカウントの使用、VPN サービスの使用、ビットコインの利用など、身元を隠すために複数の手段を講じたにもかかわらず、委員会の高度なデータ分析、暗号資産追跡、およびテクノロジーにより、高度な情報が関与する事件であっても詐欺を発見できます。国際的なハッキング。」
ニュージャージー州連邦地方裁判所に提出された連邦起訴状によると、ウェストブルック容疑者は米国の上場企業5社の幹部の電子メールアカウントに侵入した。彼は、Microsoft が Office365 アカウント向けに提供したパスワード リセット メカニズムを悪用して、この侵害を成功させました。場合によっては、ウェストブルックは、すべての受信メールを自分が管理するメール アドレスに自動的に送信する転送ルールを作成し続けたとされています。
検察官はそのような事件について次のように主張した。
2019 年 1 月 26 日頃、WESTBROOK は、不正なパスワード リセットを通じて、Company-1 の財務会計部長 (「個人 -!」) の Office365 電子メール アカウントへの不正アクセスを取得しました。侵入中に、 lndividual-1 の侵害された電子メール アカウントから WESTBROOK が管理する電子メール アカウントにコンテンツを自動的に転送するように設計された自動転送ルールが実装されました。侵入時、個人 I の侵害された電子メール アカウントには、会社 1 の四半期収益に関する非公開情報が含まれており、これは会社 1 の売上が減少していることを示していました。
電子メール アカウントに不正にアクセスした場合、パスワード リセット アラートを無効化または削除し、パスワード リセット ルールをアカウント設定の奥深くに埋め込むことで、侵害を隠蔽することが可能です。
検察は被告がどのようにしてリセット機能を悪用できたのかについては明らかにしていない。通常、このようなメカニズムでは、アカウント所有者が所有する携帯電話または登録済みの電子メール アカウントの制御が必要です。 2019 年と 2020 年には、多くのオンライン サービスでも、ユーザーがセキュリティの質問に答えることでパスワードをリセットできるようになります。この慣行は現在でも使用されていますが、リスクがより広く理解されるようになるにつれて、徐々に使われなくなりつつあります。
ウェストブルック氏は重要な情報を入手することで、企業の株式が公開された後にどのようなパフォーマンスを示すかを予測することができました。結果が株価を押し下げる可能性がある場合、彼は「プット」オプションを設定し、購入者に指定された期間内に特定の価格で株式を売却する権利を与えました。この慣行(俗に空売りとして知られる)により、ウェストブルック氏は決算公表後の株価下落時に利益を上げることができた。良好な結果で株価が上昇する可能性が高いとき、ウェストブルック氏は株価がまだ低いうちに株を購入し、後に高値で売却したとされている。
検察はウェストブルックを証券詐欺と電信詐欺で各1件、コンピューター詐欺で5件で起訴した。証券詐欺罪には、最高で懲役20年、罰金500万ドルの罰金が科せられる。 電信詐欺罪には、最高で懲役20年、または25万ドルまたはその損益の2倍の罰金が科せられる。攻撃力の大きい方。コンピュータ詐欺の各罪には、最長 5 年の懲役と、最高 25 万ドルまたは犯罪による利益または損失の 2 倍のいずれか重い方の罰金が科せられます。
ニュージャージー州地方検察局は、ウェストブルック氏が初出廷したかどうか、あるいは弁論を申し立てたかどうかについては明らかにしていない。