Twitter大規模ハック、17歳はなぜたった2週間で逮捕されたのか?
ツイッターへの大規模ハックからたった2週間で、首謀者とされる17歳をなぜ逮捕できたのか?
米連邦検事局とフロリダ州検事局は7月31日、ツイッターにおけるアカウントの大規模乗っ取り事件で、フロリダ州タンパ市在住の17歳など3人を訴追したと発表した。
バラク・オバマ前大統領、ジョー・バイデン前副大統領、マイクロソフト創業者のビル・ゲイツ氏、アマゾンCEOのジェフ・ベゾス氏、テスラCEOのイーロン・マスク氏などの著名人、アップルなどの著名企業を含む130件のアカウント乗っ取り、それらを使った被害額10万ドル(約1,000万円)を超す仮想通貨(暗号資産)詐欺事件――。
首謀者とされる17歳だけでも、その容疑は組織的詐欺、通信詐欺、個人情報の不正使用、不正アクセス、合わせて30件にのぼる。
事件が発覚したのが7月15日。それからわずか2週間後の逮捕だ。
高校を卒業したばかりという17歳は、月間利用が3億人を超すユーザーの管理システムに、どのように侵入し、なぜたった2週間で、早朝の玄関を捜査員が叩くことになったのか。
●「決して普通の17歳ではない」
彼は確かに高校を出たての17歳の未成年だ。ただ間違えてはいけないのは、決して普通の17歳ではないということだ。これは前代未聞というレベルの、高度に洗練された攻撃なのだ。
7月31日、フロリダ州検事のアンドリュー・ワレン氏は、記者会見の中でそう述べている。
逮捕されたのは、2003年1月生まれの17歳。この日午前6時39分、フロリダ州タンパ市の自宅で捜査員に身柄を拘束された。
逮捕容疑に挙げられているのは、組織的詐欺(1件)、通信詐欺(17件)、個人情報不正使用(11件)、不正アクセス(1件)の合わせて30件。
ツイッターのユーザーアカウントの大規模乗っ取りの被害は、130件に上る。このうち、ビットコインを使った詐欺に使われたアカウントがオバマ氏、バイデン氏、ゲイツ氏、マスク氏ら45件。ダイレクトメッセージへのアクセスが36件、ユーザーデータのダウンロードが7件だ。
これと合わせて、カリフォルニア北部地区連邦検事局が、さらに2人の訴追を発表している。1人は英国在住の19歳。もう1人はフロリダ州オーランド市在住の22歳だ。
フロリダ州の17歳と22歳の2容疑者は逮捕。英国の19歳は逮捕はされていない。
フロリダ州法は、金融犯罪については、未成年を成人としての訴追を認めていることから、首謀者とされる17歳は州検事局の扱いになっているという。
この3人の訴追資料から、17歳が何をしたのかが、おぼろげながら見えてくる。
●「どんな@でも手に入る」
ツイッターで働いているんだ。どんな@(アカウント)でも手に入れてあげられるよ。言ってみなよ。誰にも言わないから。
ゲーマー向けのチャットサービス「ディスコード」で、ユーザー名「Kirk#5270」と「Rolex#0373」が、そんなやり取りをしていた。
7月15日、ツイッター本社があるサンフランシスコでは午前10時半前(太平洋時間)。この時はまだ、アカウントの大規模乗っ取り事件は表面化していない。
「Kirk#5270」は、いわばアカウントの卸の役回り。「Rolex#0373」はその誘いに乗って、取引の仲介をすることを引き受けた。
アルファベットや数字1文字だけ、といった希少なツイッターアカウントは「オリジナルギャングスタ―(OG)」と呼ばれる。その取引が行われるサイトで、「Rolex#0373」が宣伝と実際の取引を受け持つ。
「どれでも最低1,000ドルでいいよ」と「Kirk#5270」。
それに先立つ7月15日午前5時半ごろから午前7時ごろにかけて、やはり「ディスコード」を使って、ユーザー名「ever so anxious#0001」と「Kirk#5270」が、アカウント取引の相談をしている。
ever so anxious#0001:@xxが5,000ドル、@darkが3,000ドルでどう。欲しがっている奴らがいるんだ。@vampireもさばける。
Kirk#5270:3つで5,000ドル?
ここでも「Kirk#5270」が卸、「ever so anxious#0001」が取引仲介の役回りだ。
連邦検事局が発表した訴追資料では、ユーザー名「Rolex#0373」がフロリダ州オーランドの22歳、ユーザー名「ever so anxious#0001」が英国在住の19歳だ。
首謀者とされている「Kirk#5270」は、連邦検事局の訴追資料には実名がない。
そして、テックメディア「マザーボード」が公開したフロリダ州検事局の訴追資料には17歳の実名があり、首謀者とされている。ハンドル名「Kirk#5270」の記載は、見当たらないが、これが17歳と同一人物であることがうかがえる。
訴追資料では、「Rolex#0373」「ever so anxious#0001」の2人は、あくまで希少アカウントを闇取引でさばく仲介役として位置付けられており、著名アカウントの大規模乗っ取りが表面化する前の段階の登場人物だ。
その著名アカウントの大規模乗っ取りを含めた、事件の首謀者と位置付けられているのが、「Kirk#5270」だ。
●「Kirk#5270」が7月15日にやったこと
では、首謀者「Kirk#5270」は、具体的に何をやったのか。
連邦検事局の訴追資料では、まず騒ぎとなった7月15日午後の著名アカウント大規模乗っ取りについて、改めて整理している。
それらによると、著名アカウント大規模乗っ取りが表面化したのは、太平洋時間の同日午後1時ごろ。
午後1時1分にbitcoin.org、同17分にイーロン・マスク氏、同34分にビル・ゲイツ氏、同58分にアップル、午後2時3分にカニエ・ウェスト氏らのアカウントが一斉に、ビットコインの送金に倍額の払い戻しをする、とのツイートを行う。
指定していたのは同一のビットコイン用アドレスだ。
これにより、翌7月16日までの間に、指定されたビットコイン用アドレスには415件の送金があり、総額は12.86ビットコイン、ドル換算で11万7,457ドル58セント(約1,244万円)にのぼる。
送金額の99.74%は、この間に11回に分けて別アドレスに移され、指定アドレスに残ったのは274ドルだけ。送金元には一切の払い戻しはなかった、という。
これに先立つアカウントの闇取引では、「ever so anxious#0001」が4万ドル分をさばき、うち33万ドル分を「Kirk#5270」に納金している。
「Kirk#5270」はツイッターアカウントを自在に乗っ取ることができる、と述べ、実際に闇取引が行われている。このため、7月15日の午前と午後の動きは一連のもので、「Kirk#5270」が首謀者の役回りを担っていた――これが連邦検事局の認定だ。
●5月3日から侵入
フロリダ州検事局の訴追資料によると、首謀者とされる17歳がツイッターに不正侵入していた期間は、大規模乗っ取りが明らかになった7月15日よりも2カ月半も前の5月3日から、とされている。
ただ、侵入の具体的な手口などの記述は見当たらない。
事件から2日後の7月17日、ニューヨーク・タイムズは、今回の大規模乗っ取りについての情報を持つ関係者の話として、犯行はまずツイッター社内で業務連絡用に使われているビジネスチャットツール「スラック」へのアクセスに始まり、そこで得た情報を手掛かりに、内部システムに侵入したようだ、と報じていた。
そして被害の当事者であるツイッターは、今回の逮捕の前日、7月30日付の公式ブログで、「電話スピアフィッシング攻撃」というキーワードを使って、侵入の状況を説明している。
7月15日に起きたソーシャルエンジニアリングは、電話スピアフィッシング攻撃によって少数の従業員を標的にしたものだった。攻撃が成功するには、攻撃者は当社の社内ネットワークへのアクセス方法を入手すると同時に、特定の従業員のみが持つ、内部のユーザー管理ツールにアクセスするための認証情報が必要になる。攻撃者が当初、標的とした従業員には、ユーザーのアカウント管理ツールへのアクセス権を持たない者も含まれていた。だが、攻撃者は従業員の認証情報を使ってまず社内システムにアクセスし、当社の業務プロセスに関する情報を入手。これにより攻撃者は、ユーザーのアカウント管理ツールへのアクセス権を持つ従業員を特定することができた。
「スピアフィッシング」とは、特定の個人を狙って、社内関係者や取引先など身近な人物になりすまし、標的とするシステム侵入に必要な認証情報を聞き出す手法だ。
メールを使ったケースが知られるが、今回はそれが「オレオレ詐欺」のような電話による成りすましだったようだ。
ニューヨーク・タイムズが報じた「スラック」との関連は判然としないが、(1)従業員の認証情報を入手して社内ネットワークに侵入(2)社内の情報収集(3)ユーザー管理ツールへのアクセス権がある従業員の特定(4)ユーザー管理ツールへのアクセス権の入手(5)ユーザー管理ツールへの侵入、という段階を踏んでいたことになる。
この工程に2カ月半を要した、と見ることもできそうだ。
ニューヨーク・タイムズは、この経緯について、フロリダ州検事局の訴追資料をもとに、首謀者とされる17歳が「従業員の1人に対して、技術部門の同僚になりすまし、ユーザー管理ツールにアクセスする必要があるため、従業員が付与されている認証情報が必要だと、信用させた」としている。
●2週間で追い詰める
ニューヨーク・タイムズは、さらにこの大規模乗っ取りで、容疑者たちは「身元判明につながる手がかりを残してしまった」と指摘。それが何であるかは明らかにしていないが、その「手がかり」が逮捕につながる有力な証拠になった、としている。
事件の捜査は、連邦捜査局(FBI)のほか、歳入庁犯罪捜査サイバーユニット、シークレットサービス、カリフォルニア州サンタクララ郡保安官事務所、さらにフロリダ州法執行局が担当した、という。
手がかりとなる情報は、様々な形で残されていた。
まず乗っ取りの舞台となったユーザー管理ツールのキャプチャ画像。
「Kirk#5270」は「ディスコード」でアカウントの取引を持ち掛ける際、乗っ取りができることを証明するため、「ever so anxious#0001」らにツイッターのユーザー管理ツールのキャプチャ画像を送信している。
事件発覚直後から、この画像がツイッター上で流され、メディアでも報じられるようになる。
さらに捜査の動きが早かった。事件発覚から2日後の7月17日には、容疑者たちが連絡を取り合っていたチャットサービス「ディスコード」に対する捜索令状が出され、「Kirk#5270」らのチャットの履歴を捜査側が入手している。
それに加えて、「Rolex#0373」「ever so anxious#0001」が希少なツイッターアカウントをさばくのに使った取引サイトでは、2020年4月にユーザーデータの流出事件が起きていた。
その際に、FBIはこのユーザーデータを入手していた、という。
さらに取引に使った仮想通貨(暗号資産)取引所のアカウント登録に、運転免許証を使うなどの手掛かりもあった、という。
また、首謀者とされる17歳は2020年4月、シークレットサービスによって、76万ドル(約8,000万円)分のビットコインを押収されていることが公告されている。
この経緯は明らかにされていないが、捜査側が以前から動きを把握していた人物であることは確かなようだ。
シークレットサービス・サンフランシスコ事務所の特別捜査官、トーマス・エドワーズ氏は、今回の訴追発表の中でこんなコメントを出している。
本日の発表は、サイバー犯罪がいわゆるグローバルな匿名性の影に隠れることはもはや不可能だということを証明した。
捜査はまだ継続中で、さらに容疑者が増える可能性もあるようだ。
(※2020年8月2日付「新聞紙学的」より加筆・修正のうえ転載)