ダークウェブで自動車爆弾を購入した英国青年は、いかにして特定されたか

江添 佳代子

December 15, 2017 08:00
by 江添 佳代子

2017年11月7日、爆発物の購入を試みた疑いで逮捕されていた19歳の英国人男性に有罪判決が下った。この事件には2つの注目すべき点がある。ひとつは、英国がサイバー犯罪の捜査で爆破事件を未然に防いだかもしれないという点。もうひとつは、「ダークウェブの利用者が捜査で特定された最新の事例かもしれない」という点だ。

「車爆弾」購入者は19歳の青年

英国国家犯罪対策庁(National Crime Agency、以下NCA)の武装作戦部隊(Armed Operations Unit、以下AOU)の捜査によれば、英ウルヴァーハンプトン在住の青年グルテージ・ランドハワ(Gurtej Randhawa)は、ダークウェブで遠隔操作型のVBIEDを購入しようと試みた。VBIED(Vehicle Borne Improvisive Explosive Device)とは車両運搬式の即席爆発装置で、ゲリラや過激派組織などに利用される、いわゆる「車爆弾」だ。

NCAのプレスリリースによれば、その装置がランドハワの住所へ届けられる前に、NCAは荷物の中身をダミーの装置とすり替えることに成功していた。そして彼らは、ダミーの装置を受け取ったランドハワを観察してから、「人命を脅かす爆発を引き起こすために爆発物の所持を試みた容疑」で彼を逮捕した。このときには45歳と18歳の女性2人も同時に逮捕されたのだが、彼女たちはすでに釈放されている。

NCAのプレスリリース

今年5月に身柄を拘束されたランドハワは、「爆発物の輸入を試みた罪」を認めたものの、「人命を奪う、あるいは重症を負わせる目的で爆発物を入手した罪」は否認してきた。しかしバーミンガム王立裁判所は2017年11月7日、その入手の意図についても有罪の判決を下した。彼の処罰は2018年1月12日に言い渡される予定となっている。

AOUのティム・グレゴリーは次のように語っている。
「ランドハワがオンラインで購入しようとしていた爆発物は、利用に成功していれば深刻な損害を引き起こし、多くの人々の命を奪う可能性があった」
「彼は組織的な犯罪団体に関与しておらず、またテロ活動との結びつきもなかったものの、コミュニティに深刻なリスクをもたらす人物であることは明らかだった」
「ランドハワのような人々──不法な銃器や武器に近づこうと試みている人々──を特定することは、NCAの優先事項である。我々は確実に彼らを逮捕し、行動の責任を負わせるために、弛まぬ努力を続ける所存だ」

ダークウェブからまた逮捕者が

ランドハワが買い求めようとしていたVBIEDが、果たして「実用的な爆発物」だったのかどうかは分からない。偽物を掴まされていた可能性もあるだろう。ともあれ、ダークウェブで注文した「商品」がランドハワの自宅へ届けられるよりも前に、NCAが彼の試みを察知し、荷物のすり替えに成功していたことは確かだ。当然ながらNCAのプレスリリースには「どのようにしてランドハワの企てを知ったのか」が説明されていない。この点は多くの人々にとって気になるところだろう。

ダークウェブの世界から逮捕者が出たのは、今回が初めてのことではない。史上最悪と呼ばれた闇サイト「Silk Road」を運営した容疑で逮捕されたロス・ウルブリヒトの例をはじめ、ダークウェブの関係者や利用者が逮捕されるケースは過去に何度も報告されてきた。

2015年には闇の児童ポルノサイト「Playpen」の会員が大量に摘発される事件があったが、その後も逮捕者の数は着々と増加しており、2017年5月の時点で「約900人」と伝えられている

また今年(2017年)は、ダークウェブの闇市場の最大手「AlphaBay」の運営者として逮捕されたアレキサンダー・カーゼスが、タイの拘置所で死亡するという事件も起きた。誰がアクセスしているのか分からないはずの匿名通信で、これまでに何人もの犯罪者が特定されたのはなぜか? それは単純に説明できない。

たとえばウルブリヒトは「警察が匿名通信を破ったわけではなく、単にウルブリヒトの犯した数々の『うっかりミス』が、本人の特定に繋がったのではないか」とも言われている。

一方、Playpenユーザーの摘発では前代未聞の(かつ賛否両論を呼ぶ)大掛かりな作戦が展開された。Playpenのサーバーを特定したFBIは、そのサイトを2週間にわたって自ら運営することにより、そこにアクセスしたユーザーのコンピューターをマルウェアに感染させる(※1)という手法でユーザーを特定した。

またAlphaBayとHansaに関しては、FBI、DEA、オランダ警察、ユーロポールが数ヵ月がかりで「闇市場を殲滅する協働作戦」を決行している。あえて2つのサービスのテイクダウンを発表しないまま、AlphaBayだけを説明なく閉鎖した彼らは、路頭に迷った多くの犯罪者をHansaへ誘い込んで摘発することに成功している。
 
※1…この作戦にはFBIのマルウェア「NIT」が用いられた。これと同様の機能を持ったマルウェアが悪用されることを危険視する人々は、「NITがどのような脆弱性を利用し、どのように感染するのか」などの情報開示を求めているが、これまでのところほとんど明らかにされていない。

いかにしてランドハワは特定されたのか

NCAがランドハワの企てに気づき、またランドハワの特定に成功した手法については、様々な仮説を立てることができる。なにしろ英国は、ダークウェブの犯罪捜査に注力する国のひとつとして知られているからだ。NCAは2017年夏にも、サイバーセキュリティの専門家と「ダークウェブのアナリスト」の人材を大々的に募集したばかりだ。その英国が、テロ撲滅のための大規模なダークウェブ捜査作戦を決行している可能性は高い。

英国ITメディア『The Register』は11月9日の記事で、ランドハワが特定された理由について「自動車爆弾を販売していた違法サイトは、警察が囮捜査で運営していた、あるいは潜入済みだった」という説が最も有力ではないかと述べた。

ダークウェブの囮作戦が有効であることは、これまでの摘発で実証されてきた。闇のサービスを当局自身が運営すれば、最初から匿名通信を破る必要もなく、ただ犯罪予備軍のアクセスを待つだけで相手を特定できる。つまりランドハワがVBIEDを購入するためにアクセスした闇のサイトは、もともと法執行機関が運営していたもので、まんまと罠にはまったランドハワが「爆発物を買い求める私」の自宅の住所を入力しただけ……という仮説は充分に成り立つだろう。

また裁判の記録によれば、ランドハワはVBIEDを「輸入しようとしていた」と認めている。つまり、その荷物は海外から届くはずだったと考えられる。それならば、たとえ当局が彼の試みに気づいていなかったとしても、税関が「怪しい荷物」に気づいたかもしれない。これは犯人がダークウェブを利用していようといまいと、危険物を発送する際には単純に起こりえることだ。あるいはランドハワが、爆弾の購入を試みる前から当局の監視リストに入っており、彼の元に届く荷物には検査が行われていたという可能性もあるだろう。

Five Eyesからの情報を元にした可能性も

ダークウェブ専門情報サイト『Deep Dot Web』は11月29日の記事で、「最初から囮サイトが当局によって運営されていただけ」という説を有力視しつつも、「NSA、あるいは他のFive Eyes加盟国の諜報機関が、ランドハワの情報をGCHQに渡していたのかもしれない」と記した。この説はなかなか面白いので、もう少し詳しく説明したい。

英国の諜報機関であるGCHQは、原則的に「自国の市民」に対して無許可の監視活動を行う組織ではない。そのような活動をすれば非合法ともなりえる。しかしFive Eyes加盟国(米国、英国、カナダ、オーストラリア、ニュージーランドの5ヵ国)の諜報機関は「他国」に対する諜報を行い、その情報を加盟国同士で共有することができる。

結果としてGCHQは、米NSAなどの諜報機関を通して英国市民の情報を得ることが可能となる。そしてGCHQとNCA(NSAではない、念のため)は2015年、ダークウェブに取り組む合同のタスクフォースを結成した。これにより、Five Eyesのいずれかの機関が取得した「英国市民の情報」は、GCHQを経由してNCAに届けることができるようになった……と考えられる。このようにしてNCAが、ランドハワの情報を得た可能性もあるだろう。

とはいえ、これらは単なる憶測でしかない。はっきりしているのは、ランドハワがダークウェブでVBIEDの購入を試みたことと、その荷物が届くよりも前にNCAが彼を特定していたということだけだ。実際にどのような捜査が行われたのかを我々が知ることはできない。まして「NCAが(あるいは他の法執行機関や諜報機関が)Torの匿名通信を破った」ということが今回の件で証明されたわけでもない。

しかしダークウェブの匿名性を絶対視する人々が多い中、このような事例が報じられることには大いに意義があるだろう。もはや「ダークウェブなら何をやっても大丈夫」という甘い考えは通用しない。「TorユーザーにTorを迂回させるツール」の存在はすでに確認されており、また現在のダークウェブには、捜査目的で運営される囮のサイトがいくつも存在している。

法執行機関はダークウェブの犯罪行為を撲滅するため、時には国際的な協働関係を結びながら様々な計画を決行している。どうせバレないのだから、と面白半分でうっかりダークウェブの犯罪行為に手を染めてしまうことのないよう、くれぐれもご注意いただきたい。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

自動車ナンバープレートの「良番」が大量に手に入る理由

April 17, 2018 08:00

by 牧野武文

四川省涼山州公安の交通警察は、自動車ナンバー取得システムに侵入し、「88888」などの縁起のいいナンバーを公開直後に不正取得し、転売をしていた犯罪集団56人を逮捕したと『新京報網』が報じた。 自動車ナンバープレート約13億円 中国人は、数字に異常とも言えるこだわりを見せる。例えば、携帯電話の番号にも…

中国ホワイトハッカーのお給料はおいくら万円?

April 10, 2018 08:00

by 牧野武文

中国のセキュリティエンジニアは、どのくらいの給料をもらっているのか。中国情報安全評価センターは、「中国情報安全従業員現状調査報告(2017年版)」(PDF)を公開した。これによるとITの急速な発展により、中国の産業地図に変化が起きていることが明らかになった。 中国でも男性が多い職業 中国で急成長をす…