正義か暴走か? FBIが行なった「前代未聞のハッキング作戦」 (1) FBIが児童ポルノサイト運営、スパイウェアを配布

江添 佳代子

July 25, 2016 10:00
by 江添 佳代子

悪名高きダークウェブの児童ポルノサイト「Playpen」がFBIに検挙された。米国の複数の州から多数の利用者が逮捕され、それぞれの裁判の行方が注目されている。「Playpen」の事件の概要、判決にいたるまでの流れと、何が論点になっているのかをこの記事で明かしていきたい。まずは、事件ついて確認してみよう。

21万人以上のペドフィリアを集めた闇サイト

児童虐待のコンテンツに特化した違法サイト「Playpen」は、Torの秘匿化を売りにしたダークウェブのサービスだった。誰がログインしているのか分からない状態で、児童虐待コンテンツのアップロード、ダウンロードができる闇サイトである。つまり、法に触れる内容の児童ポルノを逮捕されることなく楽しみたい、と望んでいるペドフィリア御用達のサービスだ。

このPlaypenは、2014年8月の開設からわずか1ヵ月で6万人の会員を集め、さらに翌年には21万5000人近くの会員数を誇る人気サイトへと成長した。Torを利用しなければアクセスすらできない違法サイトであったにも関わらず、週あたり1万1000人のユニークユーザーが訪問していたと報告されている。

FBIの証言によれば、Playpenに存在していた11万7000点以上のコンテンツの多くは「想像しうるかぎりで最も過激な類いの児童虐待の画像や動画」だった。その他には、児童虐待の罪を犯す者がオンラインで検挙されないようにするためのアドバイスなども掲載されていたという。なおFBIはPlaypenを「世界最大級の児童ポルノの秘匿サービス」だったとも表現している。

135人以上の逮捕者は主にホワイトカラー

このダークウェブの児童虐待サイトがFBIに捜査され、利用者が逮捕されたことが大々的に報じられたのは、2015年の7月初旬だった。この時点ではサイトの名前が明かされておらず、法廷文書の中でも「Website A」という表記が用いられていたのだが、のちにそれはPlaypenであったことが判明する。

当初、多くのニュースは「少なくともニューヨーク州の2名が」、そのサイトから画像をダウンロードした(あるいは所有した)容疑で逮捕されたというロイターの報道を大々的に伝えた。しかし、その後も逮捕者は着々と増えていた。

現時点で何人の容疑者がいるのか、正確な数字を確認している報道機関はないようだ。今年4月10日のHouston Chronicleは、「これまでに18の州で、少なくとも135名以上のユーザーが」Playpenに関連した児童虐待の容疑で逮捕されていると報じた。同紙の説明によると、逮捕者の多くは小児科医、大学教授、元銀行幹部、連邦政府のエージェントなどを含めた「専門職のホワイトカラー」だったという。また現在、容疑者の総数を「少なくとも137人」と伝えている報道も複数ある。

このことからも分かるように、一人ひとりの容疑者が逮捕されるたびに大きな話題となったわけではない。むしろほとんどが報道されぬまま、気がつけば100人以上まで増えていたというのが筆者の印象だ。しかしワシントン州バンクーバーで20年以上教務についていた公立学校の教師が逮捕された事件など、特に世間の注目が集まりそうな事例はニュースとなって拡散した。ちなみにこれらの報道では多くの場合、容疑者の実名が掲載されている。

「FBI」と「Tor」をめぐる2つの疑問

このPlaypenに対する捜査は、ダークウェブの児童虐待サイトの撲滅を目的として、数年前から複数の警察機関が協働している作戦「Operation Pacifier」の一環だったと考えられている。ちなみにFBIは、過去に他の作戦でも複数のダークネットの児童ポルノサイトを摘発し、そのたびに数人の容疑者を逮捕してきた。

それらと比較してPlaypenの事件が特に興味深いのは、匿名性が守られていると広く信じられていたダークウェブのサイトから「大量の閲覧者が」一度に特定されたという点だ。

「FBIはTorのユーザーを特定できるのか?」という話題がセキュリティニュースに上ったのは、今回が初めてのことではない。それはダークウェブが摘発され、関係者が逮捕されるたびに話し合われてきたことだ(例:ウルブリヒトの逮捕劇)。この「特定できるのか?」という疑問には2つの意味があるだろう。

  1. FBIがTorの利用者を特定することは、「技術やコストの面で」実現可能なのか
  2. もしも実現可能であるなら、そのための手法は「法的に」許されるものなのか

今回の捜査に関して言えば、「1」は可能だったということになる。次に論点となるのは「2」の部分だ。それについて考えるには、FBIがどのようにしてPlaypenの利用者を特定したのかを明確にする必要がある。

FBIによる「とにかく前代未聞の作戦」

FBIがPlaypenのサーバーを確認したのは2015年2月20日だった。このときFBIは、Silk Roadのサーバーを押収したときとは異なり、すぐにPlaypenのサービスを閉鎖しなかった。昨年7月のロイターは次のように記している。「法定文書によれば、FBIは同サイトのユーザーの記録を押さえるため、それから2週間に渡って運営を続行させた」。

この「2週間の続行」に何度も深く切り込んだのは、オンラインマガジンの『Motherboard』だった。同誌は2016年1月5日、「1000台以上のコンピューターを狙った、FBIの『前代未聞の』ハッキング作戦」と題された記事の中で次のように説明している。

「当誌が確認した法定文書、および関係者とのインタビューによれば、FBIは『ダークウェブ最大級の児童ポルノサイトのひとつ』と戦うために、1000台以上のコンピューターをハッキングした。アメリカ自由人権協会(ACLU)の主任テクノロジストChristopher Soghoianは、当誌によるインタビューで『このような作戦は、とにかく前代未聞だ』と語った」

さらにMotherboardは、ニューヨーク州やユタ州で逮捕された容疑者たちに関する法定文書の中から、今回のFBIのハッキングについて示されている部分を抜き出し、その手法をわかりやすく説明している。

  • FBIはノースカロライナにある「Playpenのサーバー」を突き止めたのち、2015年2月20日から3月4日までの間、バージニアにある「FBIのサーバー」にPlaypenを移し、そこで同サイトの運営を続けた。
  • その間、FBIは「NIT(Network Investigative Technique)」を利用した。NITとはハッキングツール、つまりスパイウェアを示すFBIの用語だ(著者注:ちなみにFBIは10年ほど前から、この技術を捜査に利用している。過去の報道例1報道例2)。
  • 閲覧者のコンピューターをスパイウェアに感染させたFBIは、約1300件の本物のIPアドレス(筆者註:Torを経由したIPアドレスではなく閲覧者のIPアドレス)やMACアドレス、タイムスタンプ、利用しているOS、そのバージョン、OSで利用されているユーザー名などの様々な情報を入手した。

つまりFBIは、約2週間にわたって自らがPlaypenを運営することにより、1000台以上のコンピューターに感染を引き起こし、そこから相手の情報を取得したということになる。「果たしてそれは妥当な作戦なのか?」という議論が巻き起こるのは当然の流れだろう。

この「NIT」と呼ばれるスパイウェアの仕組みについてはほとんど明かされていない。またいくつかの報道機関の解説を見ると、どうも「事実と仮説」が混ざってしまっているようにも見える。それがどのようなものなのかを大まかに知りたい方のために、ここでは英国ITメディア『The Register』が2015年10月の時点に解説したときの文章を紹介しよう。

「NITは以下のように働く:まず、押収した児童ポルノのウェブサイトに、ひとつのファイル(通常はFlash)がホストされる。Torを経由した変質者が、その秘匿サービスを訪問するとき、問題のファイルがブラウザーに送り込まれる。このFlashのファイルはAdobeのプラグインの中で働き、FBIの制御下にあるサーバーへの直接的な接続(つまりTorを介さない、公共のインターネットを利用した接続)を確立する」

その2に続く

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…