暇人の英語雑記ブログ

天才ハッカーアイスマンの正体とマックス・バトラーの素顔 – 第6章

2018.06.102017.01.22アイスマン

カーダーズマーケット

当時からカード情報を不正に取り扱うサイトは複数存在していました。ただしそれらサイトには捜査官や警察への協力者が多数紛れ込んでおり、マックスはそれに不安感を覚えました。

以上のような経緯で、自ら管理できるサイトを構築しようという計画を立てます。

マックスはそのフォーラムに Sherwood Forest という名前を付けます。

carders-market
カーダーズマーケット

アラゴンは計画自体には賛成だったものの、その名前では成功しないと異論をはさみカーダーズマーケット(Carders Market)と命名します。

実はアラゴンがサイトの名付け親だったんですね。

仰天ニュースではどのようにしてサイトをホストするサーバを構築したのかという話が一切出てこなかったので、ここで少しばかり説明します。

silk-road
画像:Mistakes Made by Silk Road’s Dread Pirate Roberts

あからさまに犯罪取引を行うサイトは複数存在しますが、過去に存在した Silk Road というサイトは最終的に管理人が逮捕され終身刑が言い渡されたという話を海外のニュース記事で目にしたことがあります。

このサイトもいわゆる「深層Web」と呼ばれるクローラの巡回を回避する仕組みになっており、更に接続は Torサーバを通したものに限定するなど、かなりのリスク対策をしていました。

当たり前の話ですが、カーダーズマーケットをホストするサーバを自宅に置いておいたら逮捕してくれと言っているようなものです。

そのようなことはセキュリティのエキスパートであるマックスには釈迦に説法です。

彼はまず Affinity Internet という企業が運営しているフロリダのデータセンターをハッキングし、そこのシステムのうちのひとつに仮想環境を立ち上げアドレスプールの中から使用されていない IPアドレスをひとつ拝借し、そこにカーダーズマーケットを立ち上げたのです。

正式には誰にも運用されていないサイトということですね。こうしてカーダーズマーケットの外部公開へと至りました。

ちなみに運営にあたって発生した出来事のすべてを書くつもりはありませんが、いくらか重要なことだけは記しておきます。

アイスマンとしての活動を活発化させていたマックスは数々のトラブルに見舞われます。

その一例として、デーブ・トーマス(Dave Thomas)、通称エル・マリアチ(El Mariachi)という人物がマックスが警察の協力者ではないかと疑うようになり、マックスに対しての嫌がらせを始めます。

そしてついにはカーダーズマーケットが密かにホストされているサーバを運営する Affinity Internet に苦情という形で連絡を入れ、結果としてその存在がバレてしまいカーダーズマーケットはシャットダウンされてしまいます。

マックスが激怒したことは想像に難くありません。仕方なく新たなサーバを求めて海外の複数の企業に連絡を入れますが身分証などを要求され断念します。

そして最終的にはイラン国内のサーバをハッキングし、そこでサイトを再開します。

賢い選択ですね。政治的に対立しているイランならアメリカ政府から正式な要請があっても応じない可能性があります。

過去に「Tor を介したネット上の犯罪を暴き逮捕した」という警察発表がありましたが、これはナンセンスです。

Tor は技術上トレースが不可能です。どのように逮捕に至ったかは知りませんが、「Tor を使用しても我々は逮捕できる」と警察が言いたかったのであれば、それは単なる空脅しです。

別の要因で犯人につながる糸口をつかんだのでしょう。

競合サイトの乗っ取り

hostile-takeover

Hostile Takeover(ホストル テイクオーバー)。乗っ取りのことです。

海外メディアにおいてマックスが他サイトを叩き潰した事件を述べるときこの言い方をすることが多いので、それをそのまま拝借します。

アイスマン事件を語る上で最も重要なエピソードなので関心のある人たちも多いでしょう。

ではなぜマックスは競合サイトの乗っ取りを計画し実行したのでしょうか。

自尊心?それも一部あったかもしれません。

kevin-poulsen
ケビン・ポールセン

American Greed でのマックスのインタビューやケビン・ポールセンの解説を聞いている感じでは、リスク回避的な意図もあったようです。

マックスはセキュリティのエキスパートとして、それらを考慮にサイトを構築しているにもかかわらず他のライバルサイトはセキュリティホールを放置していたり、FBI の情報提供者のみならず捜査官までも紛れ込んでいる可能性もあるなど、同じアングラビジネスを手がける自身にとっていくらかのリスクになり得ると判断したのでしょう。

そして彼は2ヶ月間かけて綿密に計画を練りついに実行します。

当日は48時間にも渡り多少の仮眠のみで、ほぼ寝ずに実行するほどの気合いの入れようだったと言います。

ではどのような方法だったかと言うと、SQLインジェクションが主な手段だったとのことです。

数あるサイバー攻撃の中ではかなり初歩的な手法ですが破壊力は抜群です。

補足
ここで SQLインジェクションの方法を解説するつもりはありません。興味のある人には『PHPサイバーテロの技法―攻撃と防御の実際』をおすすめします。

絶対に悪用しないようにしてください。

これで標的サイトの顧客情報を取得した後に DROPコマンドを実行し、ScandinavianCarding、the Vouched、TalkCash、DarkMarket、Cardingworld という5つのライバルサイトのデータベースを破壊していったのです。

実行後マックスが matrix001 のハンドルネームを持つ者に対して送り付けたメッセージの一部をここに記載します。

@matrix001:

The old forums were negligent in their security, using shared hosting, failing to use encryption of the data, logging IP addresses, using “1234” as the administrative passwords (yes really epople this is true!), and general administrative Nazism.

Some, such as TheVouched, were even giving a false sense of security, which as you know is worse than nothing at all.

You ask, what is the meaning of “all this”?

If you mean, why would we merge five carding forums together, the short answer is because I didn’t have time nor interest to merge in the other four for a total of nine!


@matrix001:

旧来のフォーラムは共有ホスティングを使い、データの暗号化を怠り、IPアドレスをログに保存したり、アドミンのパスワードも “1234” にしたり(おまえらこれは本当だぜ!)とセキュリティに関心を払っていないとともに、独裁ナチス主義的体制である。

The Vouched などいくらかのサイトはセキュリティに関して誤った感覚を与えていたが、おまえらも知ってのとおり、これは何もないよりタチが悪い。

なぜこのようなことをしたかって?

もしそれが5つのカーディングフォーラムを統合したのかということを意味してるのなら、それは端的に言えば俺には合計9つにもなる他の4つのサイトを統合するような時間も興味もないからだ!

質問者はおそらく「なぜ他サイトを乗っ取るようなことをしたんだ」ということを聞いているのであって「なぜ他の4つのサイトは乗っ取らなかったんだ」というようなことは聞いていないでしょう。

なのでマックスの最後の一文は完全に皮肉ですね。

以下はホストル テイクオーバーの思い出を語るマックスです。

なんか嬉しそうですね(笑)

max-talking-about-hostile-takeover-1

Shut their sites down, deleted their databases..

彼らのサイトをシャットダウンし、データベースをデリートして・・・

max-talking-about-hostile-takeover-2

imported into ours, Carders Market.

私たちのカーダーズマーケットに(それらデータを)インポートしました。

max-talking-about-hostile-takeover-3

And, uh, I don’t know… it seemed fun, at the time.

なんででしょう・・・そのときは楽しいことのように感じました。

潰されたフォーラムの管理者たちは怒り狂ったでしょうね。実際にこのあとそれらフォーラムの関係者たちとマックスの間でサイバー戦争が勃発しています。

マスタースプリンター

keith-mularski
キース・ムラスキー

通称マスタースプリンター。本名をキース・ムラスキー(Keith Mularski)と言います。

この一連のアイスマン事件を一番間近で見ていた FBI捜査官です。経歴を長々と述べるつもりはありませんが、要するにマックスを逮捕するために第一線で活動していた人物です。

彼はもちろんマックスの素性は知らないので「アイスマンの正体をつかむために第一線で活動していた捜査官」と言ったほうが正しいかもしれません。

彼は世界有数のスパマーを装うためマスタースプリンター(Master Splyntr)というハンドルネームを自らに付与し、Web のアンダーグラウンドに参加をし内偵調査をしていました。

実はアイスマン事件を語る上で欠かせない人物なのですが、なぜか仰天ニュースでの出演は一切ありませんでした。

ホストル テイクオーバーのあと、マックスは一度叩き潰したライバルサイトであるダークマーケットに度々侵入してはランダムにアカウントを消すなどの嫌がらせ行為を繰り返しており、ダークマーケット側もカーダーズマーケットに対して DDoS攻撃を仕掛け、それにマックスも DDoS で応戦するなどの状態が続いていました。

マックスは相手の DDoSパケットを吸収するためのバンド幅を求め、アメリカのホスティング会社に密かにシステムを構築し、そこからリダイレクトさせる形でカーダーズマーケットにつなぐなどして攻撃を無力化するということまでしています。

JiLsi というハンドルネームを持っていたダークマーケットの管理者もマックスとやり合うことにうんざりしたのでしょう。彼は仲間であるマスタースプリンターにサイトの運営を任せることにします。

もちろん仕事を任せた相手が潜入捜査官ということは知らなかったでしょう。このようにして FBI捜査官が管理するフォーラムが出来上がりました。

相変わらずマックスはダークマーケットへの侵入を繰り返していたようで、実際にホストル テイクオーバー後も複数回データベースを破壊しています。

このようなこともあり、データベースのバックアップを取ることがムラスキーの日課になっていました。

彼も American Greed の中のインタビューにおいてマックスのことを “real elite hacker” と言い実力を認めています。

「ダークマーケットには捜査官が紛れ込んでいる」という噂を耳にしたマックスは調査のためダークマーケットをホストしているサーバに再び侵入します。

そこで root shell を使用し、管理者権限を持つユーザがアクセスに使用している IPアドレスをチェックしているときにマスタースプリンターの箇所で止まります。

whois.net
画像:Whois.net

調べてみると Pembrooke Assosiates という企業から接続されていることがわかり、さらなる情報を求め Whois.net でその企業のサイトである Pembetal.com を調査し、そこで取得した電話番号を Anywho.com にて検索をかけてみると、ひとつの住所がヒットします。

そこはなんと National Cyber Forensics and Training Alliance (NCFTA) という FBI などが協力して設立した共同経営企業だったのです。

国内でも日本版NCFTA が設立されたことが少し話題になりましたね。

こうしてマスタースプリンターが FBI の捜査官であるということがマックスにバレてしまいました。

マックスはすぐさまマスタースプリンターをサイバー空間での人民裁判にかけましたが、ムラスキー自身も急いで Pembrook Assosiate のドメイン名の情報を書き換えるなど証拠を隠滅したため、招集がかけられたメンバーが Whois.net で調べたときにはすでに NCFTA と結びつける情報はなく、さらにマックスは日頃からまわりの人たちを捜査官だの情報提供者だの叫んでいたので、いわゆるオオカミ少年のような目で見られてしまい試みは失敗に終わります。

このあたりからマックスの運命は悪い方向へと傾いていきます。

次章:天才ハッカーアイスマンの正体とマックス・バトラーの素顔 – 第7章

<アイスマン関連書籍>


どんなささいなコメントでもウエルカムです。全てに返答いたします。
  • Hatebu share button
  • Pocket share button
  • LINE share button
  • AddThis share button
  • Instagram follow button
  • Feedly follow button
  • RSS follow button