「改造版Mirai」を作った男の意外な正体!?(後編)

江添 佳代子

August 9, 2017 08:00
by 江添 佳代子

前編はこちら

BestBuyの逮捕

BTのルーターに対するサイバー攻撃に関与した容疑で、29歳の英国人男性が逮捕されたのは翌年2017年2月のことだった。当時のロイターの報道によれば、この逮捕はドイツ連邦刑事局が伝えたものであり、容疑者の男性はロンドンの空港で英国家犯罪対策庁(NCA)の警官に身柄を拘束されたという。つまり彼の逮捕は国を超えた法執行機関の協働によるものだった。

その逮捕の発表において、容疑者の氏名は公表されなかった。また彼のニックネームなどに関する説明もなかった。しかしドイツ当局は、容疑者が「大量のルーターをボットネットに取り込んだのち、そのボットネットを『ダークウェブで販売する』という目的で、改造版のMiraiを用いたようだ」と声明の中で語っている。

声明の内容から考えるに、「氏名が公開されなかった29歳の英国人ハッカー」とは、まさしく「Motherboardの取材に答え、Miraiのボットネットのビジネスについて語ったハッカーBestBuy」のことだろう。その名前がMotherboardの記事に掲載されていたおかげなのか、彼の逮捕を報じたメディアの一部は、容疑者について「BestBuyとして知られているハッカー」という表現を用いた(多くの読者にとっては、何のことやら分からなかったのではないかとも思うのだが)。

ブライアン・クレブスの登場

それから数ヵ月後の2017年7月5日。ついに、あのブライアン・クレブスが「BestBuy」に関する調査結果をKrebs on Securityで公開した。それは一部の人々にとって「真打ち登場」のようにも感じられただろう。クレブスはこれまで数多くのサイバー犯罪の真相や犯罪者の正体を暴いてきた人物であるうえ、「クレブスとMiraiとの因縁」は昨年秋から始まっていたからだ。

クレブスの発表した記事は気が遠くなるほど手間のかかった調査報告で、その内容は決して読者の期待を裏切らないものだった。まず彼は、数々のセキュリティ企業の研究者たちが「BestBuy」について見出してきたことを紹介した。それらの多くについては本稿でも説明してきたとおりなのだが、さらに彼は
 
・研究者たちの報告によれば、DTの事件に関与したMirai(改造版)のボットネットを制御していたサーバーのアドレスは「62.113.238.138」だった
・セキュリティ企業「Farsight Security」は、そのアドレスが9つのドメインしかホストしていないことを報告している。そのうち1つだけがMiraiとは無関係だった
・2015年のBlueCoatの報告によれば、その「無関係の1つ」は「GovRAT」の利用と販売に利用されていた
・闇市場でGovRATを販売していた人物は「Spdr」を名乗っており、そのメールアドレスは「spdr01@gmail.com」だった(筆者註:このIDは先述の「スパイダーマン(SPiDeRman)」を想起させるものとなっている)
・InfoArmorが以前に発表した報告書(筆者註:先に紹介したPDFファイルとは異なる報告書)によれば、GovRATは別のサービスと共に販売されており、そのサービスに関連したデジタル署名は「parkajackets@gmail.com」というメールアドレスを利用する人物に紐付けられていた(筆者註:こちらもピーター・「パーカー」と関連しているかもしれない)

と指摘している(※6)。そして彼は、spdr01@gmail.comとparkajackets@gmail.comの2つのメールアドレスについて「興味深いことに、それらは一人のvDOSユーザーと関係がある」ということを示した。

「vDOS」については以前にも詳しく説明したので、ここでは簡単に紹介しよう。vDOSは、表向きはDDoS攻撃のストレステスト用に提供されていたサービスだが、実質的にはbooter(他者にDDoS攻撃を仕掛けるサービス)として利用されていた。2016年秋、クレブスのブログがMiraiのボットネットにより史上最大規模のDDoS攻撃を受けた理由は、おそらく彼がvDOSの実態を暴いたからだと考えられている。このときクレブスは、「vDOSがDDoSを代行してきた攻撃先のウェブサイトは15万以上に及ぶこと」「運営者は、それを知っていたはずであること」などを報告すると共に、運営者の正体まで割り出した。

このvDOSの調査を行う際、クレブスは「サイバー攻撃によってvDOSから流出したデータ」を利用した。そして彼は今回の調査でも、その流出データから「bestbuy」「bestbuy2」の2つのユーザーアカウントの存在を発見した。その2つのアカウントが利用していたメールアドレスが、先述のspdr01@gmail.comとparkajackets@gmail.comだった。つまりBestBuyが「vDOSの一顧客」であった可能性は極めて高い。
 
※6…クレブスはBestBuyとPopopretが同一人物なのかどうかを断定せず、「同じ犯罪者が2つの異なるアイデンティティを利用しているのだ、と一部の専門家は確信している」と記した。ただしクレブスのマインドマップを見るかぎり、彼がInfoArmorの報告に興味を示して徹底的に調査をしたのは「BestBuyのIDで行われた活動内容」だけだったようだ。PopopretがBestBuyと異なる人物だった場合のリスクを避けたのかもしれない。

クレブスが公開したBestBuy調査のマインドマップ(Krebs on Securityより)

BestBuyの正体

ここからクレブスはBestBuyの正体へと迫っていく。vDOSの顧客によるログインの記録やvDOSのテクニカルサポートのログの調査、メールアドレスに関連づけられたオンライン活動の調査、フォーラムでBestBuyと接触した可能性のあるメンバーへの聞き込み……それらを徹底的に行ったクレブスは、BestBuyについて以下の事を発見してゆく。

・イスラエルのハッキングフォーラムや、IRCのチャットルーム「Binaryvision.co.il」でも「Spdr01」として活動していたこと
・セキュリティの脆弱性やモバイルネットワークのセキュリティに関して高度な技術スキルを持った人物であること
・イスラエルと英国の2つの国籍を持った30歳前後の男性であること

さらにはBestBuyが「香港を旅行している最中にvDOSへログインしたため、英国と香港の2つの場所から複数回アクセスしたことが怪しまれ、一度vDOSからアカウントを停止されていたこと」や、「最近、婚約したらしいこと」なども突き止めている。

そしてクレブスは、BestBuyに関する様々な発見をもとにSNSのアカウントを探り、全ての条件と合致する「ダニエル・ケイ(Daniel Kaye)」という人物のFacebookアカウントを特定した。このアカウントの情報によれば、ケイは英国とイスラエルにゆかりのある29歳の男性である。ちなみに、同アカウントのプロフィールの背景に用いられているのは、BestBuyがvDOSの管理者から怪しまれる原因となった「香港」の風景写真で、また彼自身のプロフィール画像は「婚約中の恋人と共に撮影された写真」だった。クレブスはケイに複数回の問い合わせを送ったものの、返事は得られなかったと記している。もちろん「逮捕された29歳の英国人の容疑者」がまさしくケイであるなら、いまクレブスに応答することは不可能だろう。

ダニエル・ケイのFacebookアカウント

本当にケイが容疑者であった場合、これらのクレブスの発見は、容疑者の有罪を裏付けるための資料、あるいは余罪の追及に利用できる資料となりそうだ。しかしクレブスは「この発見を当局に渡す予定はあるのか?」という読者の問いに対して、「すべての読者と同じように、彼らもこの記事を読めると思うよ」と答えた。

発表された容疑者の氏名

クレブスの調査結果が発表されてから半月が経過した7月21日、「DTのルーターにサイバー攻撃を行った容疑で逮捕されていた29歳の英国人」が、ドイツの裁判所で自らの罪を認めた。このニュースが報じられたとき、相変わらず容疑者の名前は伏せられたままだった(例1『ガーディアン』の記事例2『The Register』の記事)。

しかし翌週28日、容疑者に有罪判決(ただし執行猶予つき)が下されたとき、ついに彼の氏名が「ダニエル・ケイ」であることが公開された。クレブスの調査結果がドイツの裁判に(あるいは容疑者の心境に)影響を与えたのかどうかは分からないが、いずれにせよクレブスの推理に間違いはなかった。

この裁判においてドイツ当局は、ケイの犯行の目的が「ルーターをマルウェアに感染させて、別の標的への攻撃に利用できる『ボットネット』を作ることだった」と語った。一方、ケイは自分の攻撃が「他者の代行」だったと主張しており、「私は『ボットネットで地元のライバル企業を攻撃しようと目論んでいたリベリアの通信企業』から1万ドル(100万円)の報酬を受け取った」と語った(※7)。ちなみにケイは、それを受け取った理由について「恋人と結婚する予定だったので、新婚生活のスタート資金にしたかった」と話している。

現在、ケイの裁判について報じている多くのニュースは、ケイを「BestBuy」ではなく「スパイダーマン、あるいはピーター・パーカーの名で活動していたハッカー」だと紹介している。それはドイツ当局が、「問題のボットネットの活動に関与したサーバーのドメイン登録情報は、スパイダーマンやピーター・パーカーに関連していた」と説明したからだろう(この説明は先述のTripwireによる報道と一致している)。

結局、ケイは執行猶予により刑務所行きを免れた。今後の彼は英国で裁判を受ける可能性もあるが、その裁判がどれほど注目されるのかは分からない。なにしろ彼の正体に関する報道の多くは、単に「雇われハッカーとしてサイバー攻撃をするため、大量のルーターでボットネットを作ろうと試みて失敗した、スパイダーマンと呼ばれた男」として片付けられているようにも見えるからだ。
 
※7…そのリベリアの通信企業というのは、「BestBuyが宣伝スパムを撒いた『40万台以上の端末によるMiraiのボットネット』のレンタルサービス」に申し込んだ顧客だったのかどうか、現時点では確認することができなかった。

粗忽者のハッカーの失敗談では終わらない

しかし、数多くのセキュリティ企業が、そしてブライアン・クレブスが明らかにしてきた様々な調査結果を信じるなら、この事件は決して「恋人との新婚生活を夢見た粗忽者のハッカーがドジを踏んで逮捕された話」で終わるものではない。ケイは強力な攻撃力を持った改造版Miraiの作者であり、世界中の「Miraiに感染したIoT製品」の大半を制御しており、本物のサイバー犯罪者だけで形成されているダークネットのコミュニティの重要メンバーであり、イスラエル、英国、そして世界のサイバー犯罪者たちとも交流があり、またvDOSを利用した攻撃活動も行っていたと考えられる男だ。それらが本当であるなら、潜入調査が困難なアンダーグラウンドの世界に精通している彼は、多くの当局者にとって「喉から手が出るほど欲しい重要な情報」をいくつも持っている可能性がある。

さらに気になるのは、InfoArmorが彼を「GovRATの活動におけるキーパーソン」と考えていることだ(※8)。つまりケイは「米政府と米軍を狙ったスパイ活動」の中心的な人物だった可能性がある。それは国家を対象とした高度なサイバー攻撃であり、そのような攻撃はアトリビューション(責任の帰属)が非常に難しい。もしも彼が「攻撃の依頼主」や「攻撃の背景」に関する重要な証拠を握っているとするなら、それは決して見逃すことのできないものだ。「BestBuyとGovRATの関係」を主張したInfoArmorの調査結果は、クレブスの推理に大きく貢献したという事実から考えても、ケイが「米国政府を狙った攻撃」の裏事情を知っている可能性は決して低くはないだろう。そうとなればNSAやFBIが黙っているはずもない。

ひょっとするとケイは、数多くのダークネットの犯罪行為や、ボットネットなどのサイバー攻撃ツールで商売を企んでいる犯罪者たちを捜査するうえでの貴重な情報源となるだけではなく、国家レベルのサイバーエスピオナージ活動(=サイバー空間の諜報活動)の解明にも大きな力を貸すことができる人物なのかもしれない。とはいえ、たとえ彼から貴重な情報が得られたとしても、それが我々の耳に届く日が来るのかどうかは分からないのだが。
 
※8…InfoArmor は「Popopret」がGovRATによるスパイ活動のリーダー的な存在だと考えており、またBestBuyと同一人物だと考えている。それが1人のハッカーなのかどうかは研究者たちの間でも意見が割れている。つまり2人が別人だったなら、BestBuyは米国の政府や軍を攻撃したリーダーだった、とまでは言えないだろう。表現を変えるなら「専門家に誤った判断をさせるほど近しい間柄のコンビだった」と言えるかもしれない。ちなみにBestBuyとPopopretのIDはいずれも闇市場で「GovRATの販売」を行っている。




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

学校サイトに銃器売買の広告!? 中国ブラックハットSEO技術

August 14, 2017 08:00

by 牧野武文

安徽省合肥市の11の学校の公式サイトに、銃器売買、代理出産、替え玉受験、セックスドラッグなどの違法広告を表示させたとして、安徽省蘆江県検察院は、張家恒、陳安、潘志剛の3人を、計算機情報システム違法制御の罪で起訴をしたと検察日報が報じた。 怪しい公告はでない仕組み サイト運営者にとっては、埋め込み広告…