ボットネット運営者? トランプを当選させた男? 悪名高きロシア人サイバー犯罪者がバルセロナで逮捕される

江添 佳代子

April 13, 2017 08:00
by 江添 佳代子

2017年4月9日、スペイン・マドリードのロシア大使館が伝えた情報によると、ロシア人プログラマーのPyotr Levashov(ピョートル・レワショフ)が4月7日、バルセロナで身柄を拘束された。

悪名高きロシア人スパマーがバルセロナで逮捕

スペインの当局者の手によって逮捕されたLevashov(36歳)は、スパム業界で悪名を馳せたスパマーのひとりである。しかし翌4月10日には「米国の大統領選でトランプを勝利に導いたロシア人ハッカーが逮捕されたようだ」という話題と、「世界で知られている巨大なボットネットの運営者が逮捕されたようだ」という2つの切り口で彼の事件を一般メディアが紹介。そのためセキュリティ系ニュースサイトは少々混乱したような状況となった。いったい何が起きたのだろうか?

この事件を説明する前に、ひとつ確認しておきたい。今年1月にThe ZERO/ONEで紹介した「バンキングマルウェアVawtrakの作者Lisov(リーソヴ)」と、「今回、逮捕されたLevashov(レワショフ)」は全くの別人だ。

2人とも国際的なサイバー犯罪の重要人物として捕らえられたロシア人であり、スペインの警察機関とFBIの協働作戦によって逮捕されたという点も、2017年にバルセロナで身柄を拘束されたという点も同じである。さらに2人の名前の英語表記が少し似ていたせいか、一部では両者を混同したような説明も見られるが、2人は完全に別の人物である。

Levashovが逮捕された「理由」

4月9日にLevashovの逮捕が伝えられたとき、彼が「何の容疑で」逮捕されたのかは分からなかった。同日の『ロイター』の報道によれば、ロシア大使館の広報担当者は、その逮捕の詳細を明かすことを拒否したという。そしてロイターは、現地スペインの警察からも、米国の内務省からもコメントを得ることができなかった。

しかし翌日の4月10日には、「Levashov はボットネット『Kelihos』の主犯者として逮捕された」という情報が英語圏の数多くのメディアで取り上げられた。スペインの警察機関がAP通信に語った話によれば、この逮捕はFBIと協働で行われている「Kelihosの殲滅作戦」の一環であり、LevashovにはKelihosを運営した容疑がかけられているという。

「Kelihos」について簡単に説明しよう。2010年に発見されたKelihosは、ピーク時に4万2000台の端末を感染させた強力なボットネットで、これらの端末(つまりボットネットに取り込まれたコンピューター)からは一日あたり400億近くのスパムメールを送信することができたと考えられている。このボットネットは2011年に9月にテイクダウンされたことが大々的に報じられたのだが、それから一年も経たぬうちに復活を遂げた。

世界最悪のスパマー第7位の男

実は今回の逮捕が報道される前から、Levashovは世界で名を知られているサイバー犯罪者だった。スパマーのブラックリストでお馴染みのスパム対策組織「Spamhaus」が発表しているランキング「世界最悪のスパマー10」も現在、Levashovを第7位にランクづけしている。このランキングの説明文には、スパムキングと呼ばれたAlan Ralsky(すでに逮捕されている)がLevashovのパートナーであったことも記されている。

ロシア国外で、このLevashovに最も詳しいセキュリティ専門家は、おそらくブライアン・クレブスだろう。なにしろ彼は、世界のスパムにおけるロシアのサイバー犯罪組織の活動を執拗に追うことにより、壮大なスケールで闇市場の秘密に迫った書籍「Spam Nation」の著者であるからだ(参照:ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (1) )。

クレブスのブログ「Krebs on Security」は2011年7月の記事で、すでにLevashovの話題に触れていた。ただし当時の記事には「Pyotr Levashov」の名前が記されておらず、彼のオンラインでの通称「Peter Severa(SEVERA)」の表記が使われていた(ちなみにロシア語の人名「Pyotr(Пётр)」は英語の人名「Peter」に該当する)。

それから約6年間、クレブスは「Peter Severa」に関する新たな情報を何度も更新してきた。彼の説明によれば、SEVERAことLevashovは、複数のロシア語のサイバー犯罪フォーラムで非常に重要な役割を果たしてきたハッカーだったようだ。いくつかのオンラインコミュニティにおける「スパム」のカテゴリで、彼は議長のような役割を務めていたという。

さらにLevashovは「Peter North」として、もう一つの悪名高きボットネット「Waledac(※)」の開発にも深く関与していた可能性が高く、その他にもいくつかの犯罪の現場に携わってきたようだ。クレブスの6年分の記事に綴られたLevashovの情報は大変な分量なので、ここで詳しく紹介することは到底できないが、興味を持たれた方にはぜひKrebs on Securityのログをたどってみてほしい。

クレブスの説明から浮かび上がるLevashovの姿は、単に「ボットネットの運営者であり、有名なスパマー」というよりも、様々なサイバー犯罪で利用されるスキームやプログラムの作成、さらに商品化の段階から多くを仕切り、それらをロシア語の闇市場で売買・管理することで犯罪者たちの活動に「貢献」した人物だろう。つまりロシアの広大なアンダーグラウンドの世界を構築した一人なのではないだろうかと考えられる。
 
※ちなみにKelihosはWaledacとよく似ており、そのコードにも多くの共通点が見られるため「Waledac 2.0」とも呼ばれている。

RTの主張と米国の主張

しかし、このロシアのサイバー犯罪者が、なぜ「米国のトランプ大統領を当選させた男かもしれない」という扱いで紹介されたのか。そこにはロシアのメディア『RT』(旧ロシア・トゥデイ)の報道が関係している。

先述のとおり、Levashovの逮捕が発表された直後のタイミングでは、ロシアも米国もスペインも「逮捕の理由」について公式なコメントを一切発表しようとしなかった。そんな状況の中、RTだけが「Levashovの妻の証言」を掲載したのだ(※)。

妻の証言によれば、スペインでバカンスを楽しんでいた彼らのもとに、「Levashovと話をしたい」とスペインの当局者が訪れたという。そして2時間の聴取が行われたのちにLevashovは逮捕されたのだが、この逮捕の直後にLevashovは妻と電話で話すことができた。そのとき彼は、「トランプを大統領選で勝利に導くことに貢献したコンピューター・ウイルス」を作成した容疑によって、自分が逮捕されたと語っていた……RTに掲載された彼女の主張は、そんな内容だった。

この数年間の米国は、「ロシア政府がトランプを米国の大統領に当選させるため、米国政府に様々なサイバー攻撃を仕掛けてきた」と公式に発表しており、ロシアはそれに激しく反発してきた。今回のRTの報道が意図したのは、おそらく次のようなラインだったのだろう。『とにかくロシアを悪者に仕立てあげようとしている米国は、悪名高いロシア人のプログラマーを逮捕することで、彼の開発したウイルスがトランプを当選させたのだというシナリオをでっちあげようとしている』

それが信憑性の高い情報であるのかどうかは微妙だ。しかし、このときは「世界で最も悪名高いサイバー犯罪者の一人がバルセロナで逮捕されたにも関わらず、彼が何の容疑で逮捕されたのかを誰も語ろうとしない」という状況だったので、これほどセンセーショナルな話題がRTから投下されれば、世界のメディアがそれを取り上げようとするのは当然のことだった。しかし不思議なことに、そのRTの記事は一日と掲載されることがないまま忽然と姿を消した。なぜ削除されたのかは不明である。

そして翌日4月10日には、スペインの警察機関が『AP通信』に「LevashovはボットネットKelihosを運営した容疑で逮捕された」と説明した。のちに米司法省も、同様の発表を行った。そのため現在(4月11日早朝)では多くのメディアが、「ロシア人のLevashovは巨大なボットネットの運営者として逮捕された」「しかしRTは、彼が『2016年の大統領選で暗躍した容疑』で逮捕されたと語っていた」という2つの話題を同時に掲載している。
 
※単にロシアのゴシップ誌が暴走しただけではないか、と思われる方がいるかもしれないので説明しておこう。RTは米国でも非常に視聴率の高い英語のニュースチャンネルだ。そしてRTを所有しているのはロシア政府なので、実質的には「ロシアの国営メディア」である。それと同時に「ロシア政府のプロパガンダ戦略に大きく貢献してきたメディア」だと言ってもよいだろう。

誰が本当のことを話しているのか

一連の情報の流れをみると、先のRTの報道は怪しいものに感じられる。まずRTは自身が発表したばかりの記事を削除している。これだけでも充分に奇妙だ。さらに、世界に名を馳せたスパム界の重要人物であるLevashovが、金銭目的のサイバー犯罪ではなく「米国の選挙活動でトランプを勝利させるためのウイルス開発」に従事してきた疑いで逮捕されたというのは、かなり唐突な話である。これを「ロシアが『米国の強引さ』を強調しようとして作り上げたシナリオ」だと感じる人は多いだろう。

それならば今回の逮捕劇は、「巨大なボットネットの運営者であるロシア人を他国で逮捕しただけの米国」と、「そこに奇怪なプロパガンダを結びつけようと足掻いたロシア」という単純な構図で語れる話なのだろうか。その可能性は高そうだが、断言はできない。「ボットネットの首謀者として、刑事事件で逮捕したはずのロシア人ハッカーが、実はボットネットを使って『ヒラリーを貶める風説の流布』にも携わっていたことが判明した」というシナリオを米国が用意していた(しかしロシアが先にネタばらしをしてしまった)可能性もある。そしてロシアほどあからさまではないにせよ、これまでの米国側にも少々不可解な動きが見られている。

米司法省は4月9日の時点で「Levashovの逮捕に関しては『秘密厳守』となっているため何も公表することができない」と語っていた。しかし翌日の10日には突然、「我々はボットネット『Kelihos』の殲滅作戦を開始している。先日のLevashovの逮捕は、その作戦の一環だった」という声明を高らかに発表した。それは極秘のはずではなかったのか、と突っ込みたくなる向きもあるだろう。まるで米国の大統領選挙の捜査とは無関係の刑事事件だ、ということを強調するためにあわてて発表したかのようにも感じられてくる。

ともあれ、彼の逮捕については現在も謎だらけなので疑い始めるとキリがない。先にお話した「奇妙なほどに共通点が多い2つの逮捕(LisovとLevashov)」に何らかの関連性があるのかどうかも分かっていない。さらに「ボットネットKelihosの首謀者」として容疑をかけられた人物が、これまで二転三転してきたということも記しておくべきだろう。たとえば5年前の2012年には、Andrey N. Sabelnikovという名の人物がKelihosを制御していると報じられていた。しかし、そのわずか3ヶ月前にはDominique Alexander Piattiという人物が運営者であると報じられていたのだ。ちなみにブライアン・クレブスは2012年当初から、KelihosのボスはSabelnikovでもPiattiでもなくLevashovであるということをブログで主張していた

このように最初からややこしい性質だった事件に、「米国とロシアの政治的な思惑」という要素が加わったことで、Levashovの逮捕は非常に厄介なニュースとなってしまった。この事件が今後どのように報じられ、また米国とロシアがどのような主張を繰り広げるのか。それはトランプとプーチンとの関係に、そしてトランプと米法執行機関の関係にどのような影響を与えるのか。これからも、さまざまな憶測が繰り広げられるような続報が届くことになるだろう。




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…