メジャーリーグ球団ハッキング事件:懲役4年の判決

メジャーリーグ球団セントルイス・カージナルスの元職員が、ライバル球団ヒューストン・アストロズのシステムをハッキングしたとして、懲役4年の判決を受けました。

cardinals-hacking-featured

スポーツ界では、さまざまなチームが成功を追い求めてしのぎを削っています。競争を制し、さらなるタイトルを獲得するため、選手もチームも新たな道を模索し続けています。

少しでもライバルを上回りたい一心で、運動能力向上薬が用いられることもあります。アウトかセーフか、すれすれの方法ですが。そして昨年、米国メジャーリーグ球団のセントルイス・カージナルスは、前代未聞の競争力を手に入れました。ハッキングです。

そうです、そのハッキングです。昨年6月、当社のセキュリティニュースブログ「Threatpost」に、デニス・フィッシャー(Dennis Fisher)がこんな文章で始まる記事を寄せています(英語記事)。「最近、とんでもないハッキング疑惑が浮上した。セントルイス・カージナルスの職員がヒューストン・アストロズのシステムに侵入し、球団内でやり取りされた選手の情報、トレード情報、スカウティングレポートなどの機密情報に不正アクセスした疑いで、連邦機関が捜査中であるという」。

Kaspersky Daily(当ブログ)やThreatpostの読者ならご存じだと思いますが、ハッキングは今に始まったことではなく、日常的に発生しています。このハッキング事件が注目に値するのは、ハッキングがあった事実ではなく、その経緯の方です。

ヒューストン・アストロズのゼネラルマネージャー、ジェフ・ルーノウ(Jeff Luhnow)氏は、カージナルスの幹部をしていた頃は評価の分かれる人物でした。当初の報道によると、カージナルスの幹部たちは、ルーノウ氏の在職時のパスワードを使ってアストロズのシステムへのアクセスを試みたようだとされていました。

最初の報道から約1年後、カージナルスの前スカウトディレクターであるクリス・コレア(Chris Correa)氏がデータベースのハッキングを認め、懲役46か月の判決を受けました。

「コレア氏は半年前の有罪答弁で、アストロズのアカウントをハッキングしたのは、カージナルスからアストロズに移籍した職員がカージナルスの機密データや統計モデルを持ち出し、アストロズ側で利用していないか確かめるためだったと主張。コレア氏は検察官に対し、その証拠をつかんだと語っている」(St. Louis Post-Dispatchより引用。英文記事)

この供述を見ると、ある種の善意が働いたように見えなくもありません。ただ、もしそうだとしても、やったことは不正でしかありません。この事件は、許可なくデータにアクセスすれば実世界にも影響を及ぼしかねないことを示しています。どんなに正当な理由があっても、ハッキングは駄目です。特別なハッキングソフトを使わず、たまたま知っていたパスワードで他人のアカウントにログインするだけであっても。

この一件は、パスワードの共有や同じパスワードの使い回しが得策でないことも示しています。ルーノウ氏が使っていたパスワードやユーザー名を前職の同僚が知っていたら、有望選手の情報や個人情報どころか、もっと重要な情報にまで手が伸び、もしかしたら個人の財務情報まで入手していたかもしれません。

これはメジャーリーグで起きた事件ですが、プレミアリーグやFIFA、オリンピックなど、他のスポーツ界隈でも同じことが起きないとは限りません。もう起きているかもしれません…私たちが知らないだけで。

それでは、この事件の教訓をまとめましょう。

  1. ハッキングは駄目です。絶対に。
  2. パスワードは正しく有効に使いましょう。パスワードを使い回すことのリスクと更新の重要性については、こちらを参照してください。どういうパスワードなら強度が高いのかは、こちらで確認できます。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?