「宝くじをハッキングで操作したとして男性が有罪に」

www.bleepingcomputer.com

米国の33の州、およびプエルトリコ、米ヴァージン諸島で開催される宝くじは、MUSL（※記事中ではMSLAとあるが誤記と思われる）という非営利団体が運営しています。

そして宝くじの当選番号は、MUSLの「ドロー・ルーム（くじをひく部屋）」にある、厳重に管理されたコンピュータで決まります。監視カメラも当然ついています。

そんな宝くじで、米国史上最大の宝くじ詐欺があり、その被告人が有罪判決を受けました。

詐欺の手法

詐欺の手法は、くじをひくコンピュータへのハッキング。不正なDLLを仕込んで（Windows機なんですね）、乱数生成ロジックを置き換えたのです。といっても、置き換えかたも凝っており、「1年間のうち3日（5/27. 11/22, 12/29）、2つの曜日（水、土曜日）、午後8時以降」という条件（記事では不明瞭なものの、おそらく全ての条件を満たす場合でしょう）で、仕込みの値が出るというもの。

さらに、ある程度時間が経ったらファイルを自ら削除する仕組みもついており、インストールもUSBメモリを挿すと自動的に進むという、実に周到に準備されたものでした。

ハッキング経路

しかし、犯人はどうやってこの不正なDLLをインストールしたのでしょうか。

実は犯人はMUSLのサイバーセキュリティ部長であり、くじをひくコンピュータへの物理的アクセスが可能な5人の中の1人でした。さらに、監視システムの設定を書き換えて、監視カメラの記録を「1分間に1秒だけ」に減らしたのです。USBメモリを挿して、すぐ外すだけなら、1分でできるというわけです。まるでお話みたいですね。

詐欺の実際

この詐欺の中枢は、先ほどの部長と、その兄、元同僚の3人です。他に宝くじを買ってくる者を臨時で雇っていたようです。

詐欺は2005年に始まりましたが、2011年にしくじりました。当選金の受け取りを複数回やってしまったのです。宝くじの当選者は記録、公開されるため、同一人物が複数回当たったことを受けて調査が行われ、詐欺が発覚しました。

詐欺の報酬

判明している範囲で、この詐欺による儲けは200万ドルを超えています。

• 2005年11月 568,990ドル
• 2007年12月 783,257ドル
• 2011年11月 120万ドル

でも3人で分けたら70万ドル（8000万円強）なんですね。