刑務所をハッキングして友人の刑期を書き換えた男

江添 佳代子

May 11, 2018 08:00
by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれば、早く釈放されるだろう」という大胆な試みは失敗に終わり、彼自身が刑務所入りするという結果となった。

ハッキングの手法

Voitsの逮捕が伝えられたのは昨年2017年12月。このときは「友達のための刑務所ハッキング」という面白さと、その手口がちょっとした話題になっていた。英国メディア『The Register』の12月7日の記事に掲載された裁判記録によると、まずVoitsは2017年1月、ウォッシュトノー郡のドメイン「ewashtenaw.org」に似せて、wのかわりにvを2つ重ねたドメイン「ewashtenavv.org」を取得した。

その後、同ドメインを利用して一人のウォッシュトノー郡の職員になりすました彼は、狙った職員にメールを送ってewashtenavv.orgのサイトへ誘導しようと試みた。しかし、このスピアフィッシングは成功しなかった。そのためVoitsは同郡のITマネージャになりすまし「システムのアップグレードのため」と称して職員たちにサイトを訪問させ、そこから.exe ファイルをダウンロードするよう指示し、マルウェアをインストールさせた。この連絡には電話が利用されたと伝えられている。

つまり刑務所の管理システムをハッキングする際、Voitsは技術的な手法のみに頼ったのではなく、フィッシングメールや電話によるSE(ソーシャルエンジニアリング)の手法を複数の角度から駆使している。このようにして「人間の脆弱性」を悪用したVoitsは、1600人以上の職員の詳細なログイン情報を入手し、郡のネットワークへのフルアクセスを手に入れた。そこには受刑者の記録管理に利用されているコンピューターシステム「Xjail」も含まれていた。

侵入、発覚、逮捕

そして2017年3月、管理システムへの侵入を果たしたVoitsは、ついに友人(その受刑者に関する情報は公開されていない)の記録の改ざんに成功した。しかし彼が行ったデータ修正は、すぐさま他の職員に気づかれることとなる。報告を受けた当局は、改ざんされた情報を直ちに修正するとともにフォレンジック調査を行った。それらの対応に支払われた費用は23万5488ドル(約2400万円)にのぼった、と当局は主張している。

その後、まもなく逮捕されたVoitsは自身の罪を認めて嘆願取引に同意し、また資産没収についても同意した。そして2018年4月、彼に下された判決は8ヵ月間(7年3ヵ月)の禁固刑となり、さらにラップトップ1台、4台の携帯電話、385.49ドル(4万円弱)相当のビットコイン、および集積回路部品ひとつが没収されたと報告されている。

実はVoitsは、この事件を起こす前にも、サイバー犯罪に関連した事件や、その他(薬物所持など)の訴えで何度となく米当局の世話になっている。たとえば彼は2015年に連邦捜査局、国家安全保障局、ミシガン州警察に対して「テロの脅しを行った」と報告されている。ただし当時の彼は、ミシガン大学病院で精神医療のケアを受けている最中だった。

AP通信の4月26日の報道によれば、今回のウォッシュトノー郡の事件でも、Voitsの弁護士は「彼の深刻な病の影響が大きかった」と説明している。このように彼のバックグラウンドは少々複雑だ。しかしThe Detroit Free Pressの同日の報道によれば、当局は「Voitsは精神面の健康の問題を抱えているが、自身の不正について完全に理解している」と語っているという。

ともあれ、彼のハッキング、およびソーシャルエンジニアリングの能力が非凡であることには疑いの余地がないだろう。検察はVoitsについて「途方もない(extraordinary)才能」を持った人物であるにも関わらず、それを地方自治体のコンピュータ侵入に利用してしまったと表現している。7年の刑期を終えたときの彼が、サイバー犯罪を防ぐための手段として、その能力を活かせるようになっていることに期待したいところだ。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

「事故前提の中国無人運転車」の公道走行試験

May 8, 2018 08:00

by 牧野武文

中国工信部、公安部、交通運輸部は連合して、「スマートネット自動車公道試験管理規範(試行)」を発表したと『中間村在線』が報じた。いわゆる無人運転車の公道走行試験の方法を国として定めたもので、中国はドライバレースカーの実用開発で他国を一歩リードすることになる。 無人運転の6要件 このガイドラインは、国と…