刑務所の受刑者がタブレットの脆弱性を突いて総額2000万円以上が盗み出される

by Thomas Hawk

アイダホ州の刑務所に収監されている364人もの受刑者が、外界のデジタルサービスを利用するためのタブレットの脆弱性を突き、総額22万5000ドル(約2500万円)もの大金を盗み出したことが明らかになりました。

Idaho prison inmates exploited tablet vulnerability to steal $225,000 in credits - The Verge
https://www.theverge.com/2018/7/26/17619972/idaho-prison-inmates-tablet-hacks-jpay-stolen-credits-250-thousand

今回脆弱性を突かれて悪用されてしまったのは、JPayという企業が提供する受刑者専用のタブレット。JPayは受刑者本人やその家族にタブレットを購入させ、受刑者が電子メールや音楽などを購入したり、家族から受刑者へ送金したりといったデジタルサービスを提供しています。

JPayは政府の援助によってサービスを運営しているのではなく、刑務所と契約した民間企業であるとのこと。タブレットを使用する受刑者にJPayアカウントを開設させ、そのアカウント内の残高を使って、受刑者はさまざまなデジタルサービスを購入することができるそうです。

Idaho Department of Correction(アイダホ州矯正局)のスポークスマンは、「数百人の受刑者がJPayタブレットの脆弱性を突き、意図的にJPayアカウントの残高を増やしました」と発表しました。タブレットの脆弱性がどのようなものであったのか、どうして数百人もの受刑者が悪用できたのかという点については説明されていませんが、複数の刑務所間で残高を増やす方法について共有されていたものと思われます。

by Walt Stoneburner

JPayは不正に水増しされた残高のうち、6万5000ドル(約710万円)をすでに取り戻したとのこと。事態が収拾するまでの期間、JPayは受刑者のデジタルサービス利用に制限をかけているそうで、電子メール以外の音楽やゲームといったサービスを購入することはできなくなっているようです。

ほとんどの受刑者は1000ドル(約11万円)ほどの残高を水増ししており、最も高額の水増し額でも1万ドル(約110万円)ほどでした。アイダホ州矯正局のスポークスマンは「JPayのシステムについての詳しい知識と、複数の受刑者らの行動によって引き起こされた意図的な不正行為です」と述べており、統率の取れた大規模な犯行だったとしています。