Sophos Managed Threat Response チームがセクストーション犯罪者の逮捕に貢献

今年初め、「ブライアン・キル (Brian Kil)」こと Buster Hernandez (30) は、米国の裁判所において、殺人・誘拐・傷害の脅迫、未成年者への強要・誘惑、児童性的虐待画像の作成など 41 件の罪を認めた結果、75 年の懲役を宣告されました。これらの犯罪は検察官が言うところの「児童への心理的拷問」に相当し、事件を担当した裁判官は、Hernandez を「米国史上最多のセクストーションを行ったうちの 1 人」としています。

Rook はこの事件で州警察、地元警察、FBI、数多くのシリコンバレー企業と協力し、Hernandez 逮捕のために 1,100 時間以上を費やしました。この取り組みは、サイバーセキュリティ業界の一致団結による優れた業績の一例です。事件の概要は以下です。

事件

2012 年から 2017 年 8 月まで少なくとも 5 年間、Hernandez は「ブライアン・キル」という偽名で全米規模のセクストーション計画を実行し、数百人に上ると言われる被害者 (そのほとんどが未成年者) を恐怖に陥れました。

攻撃はいつも、被害者の名前と、不正入手した写真の所持を騙る脅迫文で始まります。Hernandez は Tor ネットワークを利用して IP アドレスと位置情報を偽装し、主に 12 歳から 15 歳の何百人もの未成年者にメッセージを送信し、露骨な写真や動画を送るように脅迫していました。

この犯行は数年に渡って続きました。事件がさらに危険な段階に達し、当局の注目を集めたのは、Hernandez がインディアナ州プレーンフィールドに住む 10 代の少女に狙いを定めたときでした。Hernandez はこれまでにも Facebook を中心としたソーシャルメディア上で嫌がらせや脅迫を行っており、この少女に対しても、所持する Facebook の多数のアカウントのひとつで、被害者の性的な写真を投稿していました。しかし今回のメッセージの中には、被害者の高校、もうひとつの学校、スーパーマーケット、ショッピングモールに対する爆破予告や銃撃予告も記載されており、これら 4 つの施設は閉鎖に追い込まれました。これにより地元警察は 2015 年 12 月、FBI に協力を要請し、最終的に 2017 年 8 月には、連邦捜査官が Rook の開発したスキームにより犯人を逮捕しました。

逮捕につながった Rook のデジタルフォレンジックと NIT 戦略

Hernandez のテロ予告の情報はすぐにセキュリティコミュニティに伝わり、インディアナ州を拠点とする Rook のチームの耳にも入りました。FBI の担当者に連絡を取った Rook は、州警察、地元警察、FBI で構成されるサイバータスクの合同機関にただちに協力することになりました。

この脅迫で、当該事件は、差し迫った危害や生命への脅威を意味する「exigent circumstances (緊急事態)」レベルにまで引き上げられました。このレベルに達すると、通信会社、インターネットサービスプロバイダー (ISP)、ソーシャルメディア企業などの組織は、支援要請への回答を優先することが法的に義務付けられています。Rook は、シリコンバレーの ISSA と特定のファイル転送サービス、通信事業者、ソーシャルメディアプラットフォーム企業との関係を活用して、これら重要な要請を、迅速に適所へ届ける協力をしました。「悪が勝利するために必要なたったひとつのことは、善良な人々が何もしないことである」という表現がありますが、今回はまさにその逆で、サイバーセキュリティコミュニティが一丸となって Hernandez の犯行を可能な限り迅速に阻止しました。

Hernandez は、複数の Facebook アカウントを作成して複数の被害者に同一の脅迫文を投稿していました。Rook はこれらのアカウントから IP アドレスやプロキシを逆探知しようとしましたが、Hernandez は Tor とプライバシー重視のポータブル OS である Tails を組み合わせ、実際の居場所を割り出せないようにしていました。従来の事例では、デジタルプラットフォーム上の犯罪に証拠がある場合には、犯行に使用された ISP に記録を提示させ、犯人の IP アドレスを調べることができました。そして通信事業者の記録と照合し、犯罪発生時にその IP アドレスを使用していた人物を割り出します。その後令状を発行し、現行犯逮捕のための戦術を展開するなど、犯人特定に向けて物理的な調査を開始します。つまり、サイバー犯罪者を逮捕するには、この特定作業を成功させることが鍵となります。

以下、Rook のチームが Hernandez のセキュリティ対策を回避し、犯行を直接特定するまでにどのようなデジタルフォレンジック手法を展開したかを紹介します。

• Rook チームは、Hernandez の複数の Facebook アカウントについて関係図を作成し、恐喝していた被害者のアカウントなど関わりのあったアカウントを特定しました。FBI は被害者を支援し、中には当時正体不明だった Hernandez の逮捕に協力する被害者もいました。
• Tor を使って IP アドレスを追跡することは通常不可能ですが、Rook は被害者と協力し、それを可能にするネットワーク調査技術 (NIT) を開発しました。そして、その NIT を犯人に仕掛けるためのアプローチを開始しました。
• ある被害者は、ビデオを送信することを強要されていました。その被害者は、上記の NIT を組み込んだ、おとりビデオを作ることに同意します。ビデオには一見なんの変哲もありません。しかし犯人が動画が再生すると、画像がフェードアウトします。実はこのビデオを再生することで、IP アドレスとシステムに関する識別子が自動的に明かされる仕組みになっていました。
• この NIT では、Tor や Tails の難読化レイヤーを回避する方法で犯人の IP アドレスを突き止めています。皮肉なことに、これは通常マルウェア攻撃者と関連性のある TTP であり、送信先の IP アドレスと信号があらかじめ設定された、この捜査用に作成された C&C ビーコンでした。つまり、Rook は、ビーコンからの信号がHernandez の IP アドレスであることは分かっていました。よって、この特定の IP アドレスと、恐喝行為が結びついたのです。
•  通信事業者も Rook とリアルタイムで連携し、IP アドレスを確認した後、住所まで特定しました。残念ながらこの使用法で NIT はうまく機能したものの、明らかになった IP はタワーで共有のもので、同じタワーにいる他の人のプライバシーを損なうことなく犯人についての情報を得ることができなかったために、チームは再編成を余儀なくされました。
• 後日再び同じ手法が使われた結果が、公表されています。この段階で NIT は IP アドレスを割り出したため、今度は人物を正確に特定する必要が出てきました。つまり、犯行の時間に、その住所の、その特定のシステムから、特定の IP アドレスで、かつその住居にいたのが容疑者だけだったという、反論の余地のない証拠を入手する必要がありました。
• FBI は、映画のような手法を用いました。小型トラックを容疑者宅前に駐車して目隠しにし、その間に電柱にカメラを設置して自宅を監視し始めたのです。このカメラによって、犯行時に家にいたのは Hernandez 一人であったことが証明され、彼の犯行であることが証明されました。

その後米国連邦検事局が、長年にわたってネット上で繰り広げられてきた犯行を終わらせました。この素晴らしい共同作業には Rook チームも大いに貢献しており、Hernandez の犯行は阻止され、一生を刑務所で過ごすことになりました。

この事件は、コミュニティの人々、法執行機関、サイバーセキュリティ業界が一致団結して正しいことを行い、間違った行いを止めようとした実例です。この事件に直接関わったチームメンバーは、協力できたことを光栄に思っている、と述べています。

大切な人を同様の攻撃から守るには

家族や友人が同様の犯罪被害に遭わないために、以下の方法があります。

• インターネット上の攻撃者が使用するソーシャルエンジニアリングの手法 (露骨なコンテンツの所持を騙る文章など) について子供たちに教える。
• 子供たちがそのような犯罪に巻き込まれた場合、助けを求めて良いこと、秘密にして苦しむ必要はないと理解してもらうことも重要です。
• 攻撃者に危険な情報やコンテンツを提供し続けてはいけません。たとえそれが唯一の方法に思えても (実際には違いますが)、相手が有利になるだけです。
• 攻撃者との関係を断ちましょう。
• このようなインシデントについては、地元の警察や FBI の情報提供ライン (https://www.fbi.gov/tips) に報告してください。