システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)
企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。
January 28, 2015 16:00
by 江添 佳代子
2015年1月13日、世界一悪名高い薬物販売サイト「Silk Road(シルクロード)」の黒幕として起訴されていたロス・ウィリアム・ウルブリヒト容疑者(Ross William Ulbricht)の裁判がついに始まった。米連邦検事はウルブリヒトが麻薬密売、コンピューター・ハッキング、マネーロンダリングを共謀して莫大な利益を得たと主張。一方のウルブリヒトは、同サイトの開設に携わったことを認めたものの、その運営には関与していないと語り、全ての容疑を否認している。
ウルブリヒトがFBIに逮捕されたのは2013年10月、刑事告訴されたのは翌年2014年2月だった。FBI捜査官のChristopher Tarbellは、訴状の中で次のように記している。「ウルブリヒトは『Silk Road』の名で知られる闇のWebサイトを所有し、またそれを経営していた」「Silk Roadは、最も洗練された大規模な犯罪的市場として捜査対象に浮上していた」
このSilk Roadを巡る騒動は、日本ではあまり大きく報道されていない。しかし欧米のメディアでは何度となく取り上げられており、とりわけ米国ではアレックス・ウィンターを監督に迎えたドキュメンタリー(作品名「Deep Web」、米国EPIXで今春放映予定)が撮影されるほどの注目を集めている話題だ。そのサービスの黒幕と疑われているウルブリヒトの裁判が始まったこのタイミングで、Silk Roadがどのようなサイトであったのかを確認していきたい。
2011年2月(一部報道では2011年1月)に開設されたSilk Roadは、法で規制されている薬物をオンラインで販売するためのプラットホームを、麻薬ディーラーたちに提供する役割を担っていた。歴史的な交易路網の名を模した同サイトは、まさしく世界中のディーラーから愛用される存在となり、その規模の大きさや商品の多様さから「薬物のeBay(eBay for drug)」とも呼ばれていた。2011年2月から2013年7月、3,877の販売者アカウントと146,946の購入者アカウントの間で行われた取引の数は、1,229,465件だったと報告されている。
もう少し具体的なサービス内容を説明しておこう。Silk Roadは「大麻はもちろん、コカインやLSDなどの入手困難な薬物も安全に販売/購入できるサイト」として絶大な人気と信頼を集めていた。そこでは売人の評価システムが採用されていたため(一般的なオークションサイトや中古品売買サイトの「出品者評価」を想像していただきたい)、詐欺的な取引をするディーラーは淘汰されるようになっていた。つまり購入者は、裏路地で危険な取引をする必要もなく、ただ「品質の良い薬物を安く扱うと評判のディーラー」を選び、膨大な数のアイテムから欲しいものを注文し、それが自宅に届くのを待つだけだった。
このように大がかりな違法サイトが、なぜ3年近くも閉鎖されなかったのか? と疑問に思う方もいるだろう。まずSilk Roadを語る上で欠かせない特徴の1つは、それが「Tor」を経由しなければアクセスできない仕組みになっていたことだ。Torを介して行われる通信は匿名化されるため、たとえトラフィックを盗聴しても利用者のIPアドレスは追跡できない。さらに、同サイトで利用できる通貨は仮想通貨「Bitcoin」に限られており、一般的な銀行やカード会社などを通した決済は一切行われないため、法執行機関は金の流れを追うことができなかった。
つまり、TorとBitcoinの特徴を最大に生かした(悪用した)Silk Roadは、利用者にとって「安心して取引できる明快なサービス」であった反面、それを捜査する側にとっては「苛立たしいまでに手がかかりのない悪質なサービス」だったと言えるだろう。そして、この闇サイトの創設者であり運営者であると考えられていたのが、通称「Dread Pirate Roberts」(あるいは「DPR」「Silk Road」)と呼ばれる人物だった。
ちなみにDread Pirate Robertsの名は、映画化もされた長編小説「プリンセス・ブライド」に登場する海賊の名から得たものと考えられている。この小説では、物語が進むにつれて、「Dread Pirate Robertsは一人の人物ではない」という秘密が明かされる。闇のサイトで正体を隠すボスに相応しい名前と言えそうだ。
Dread Pirate Roberts(以下DPR)は、現在の薬物法規制に批判的なリバタリアニズムの提唱者という立場で、Silk Roadのユーザーに対しても「クリーンな利用」を求めていた。しかし競合のサービス(Silk Road以外にも違法な薬物販売サイトは複数ある)と競い合うために手広い宣伝活動も行っており、FBIの訴状によれば、彼がSilk Roadの運営によって得た利益は8千万ドルにも及ぶと言われている(8千万円の間違いではない、念のため)。
現時点の裁判でDread Pirate Roberts(以下DPR)に掛けられている嫌疑は、麻薬販売の共謀、マネーロンダリング、コンピューター・ハッキングだが、他にもDPRには、少なくとも2度に渡って第三者に殺人を依頼した疑いがある。たとえば2013年3月、DPRは自分を脅迫したSilk Roadのユーザーを15万ドルで始末し、その遺体の写真を送るよう第三者に依頼したと伝えられている(ただし、この件に関してはDPRがまんまと騙されたという説も有力視されており、実際に殺人が行われなかった可能性は高い。ともあれ、少なくともFBIの訴状には「DPRが第三者にユーザーの殺害を依頼した件」が綴られている)。
DPRが非常に大規模な麻薬市場を牛耳っていただけでなく、その他の深刻な犯罪にも関与していることは明らかだったものの、米当局はDPRや共犯者たちの正体を掴むことができなかった。Silk Roadと関わった初の逮捕者も、同サービスの重要人物ではなく、豪州在住のディーラーだった。2012年6月、コカインとエクスタシーを販売していたとして逮捕されたPaul Leslie Howardは、その後の家宅捜査によってSilk Roadのディーラーであることが判明した。つまり「警察がSilk Roadの売人を逮捕した」というより、「たまたま捕まえた犯罪者がSilk Roadに関わっていた」と言ったほうが良いかもしれない。
これほど強固な対策がとられていたSilk Roadで、なぜDPRの正体が割られたのか? ウルブリヒトがDPRであるという証拠には、どの程度の信頼性があるのか? そしてSilk Roadの黒幕は本当に彼一人だったのか? BitcoinとSilk Roadの間には、どのような関係があったのか? それらについては次回以降、ウルブリヒトの裁判の様子と共にお伝えしたい。