WordPressのオリジナルテンプレート完成!

天才ハッカーアイスマンの正体とマックス・バトラーの素顔 – 第6章

2018.05.062017.01.22アイスマン

カーダーズマーケット

当時からカード情報を不正に取り扱うサイトは複数存在していました。

ただしそれらサイトには捜査官や、警察への協力者が多数紛れ込んでいて、マックスはそれに不安感を覚えました。

以上のような経緯で、自ら管理できるサイトを構築しようという計画を立てます。

マックスはそのフォーラムに Sherwood Forest という名前を付けます。


カーダーズマーケット

アラゴンは計画自体には賛成だったものの、その名前では成功しないと異論をはさみカーダーズマーケット (Carders Market) と命名します。

実はアラゴンがサイトの名付け親だったのですね。

仰天ニュースではどのようにしてサイトをホストするサーバを構築したのかという話が一切出てこなかったので、ここで少し説明します。

Silk Road
画像:Mistakes Made by Silk Road’s Dread Pirate Roberts

あからさまに犯罪取引を行うサイトは複数ありますが、過去に存在した Silk Road というサイトは最終的に管理人が逮捕され終身刑が言い渡されたという話を海外のニュース記事で目にしたことがあります。

このサイトもクローラの巡回を回避していて、いわゆる深層Web という形態をとっており、更に接続は Torサーバ を通したものに限定するなど、かなりのリスク対策をしていました。

当たり前の話ですが、カーダーズマーケットをホストするサーバを自宅に置いておいたら逮捕してくれと言っているようなものです。

そのようなことはセキュリティのエキスパートであるマックスには釈迦に説法です。

彼はまず Affinity Internet という企業が運営しているフロリダのデータセンターをハッキングし、そこのシステムのうちのひとつに仮想環境を立ち上げアドレスプールの中から使用されていない IPアドレスをひとつ拝借し、そこにカーダーズマーケットを立ち上げたのです。

正式には誰にも運用されていないサイトということですね。

こうしてカーダーズマーケットの外部公開へと至りました。

ちなみにカーダーズマーケットの運営にあたって発生した出来事のすべてを書くつもりはありませんが、いくらか重要なことだけは記しておきます。

アイスマンとしての活動を活発化させていたマックスは数々のトラブルに見舞われます。

その一例として、デーブ・トーマス (Dave Thomas)、通称エル・マリアチ (El Mariachi) という人物がマックスが警察の協力者ではないかと疑うようになり、マックスに対しての嫌がらせを始めます。

そしてついにはカーダーズマーケットが密かにホストされているサーバを運営する Affinity Internet に苦情という形で連絡を入れ、マックスが立ち上げていた環境がバレてしまいカーダーズマーケットはシャットダウンされてしまいます。

マックスが激怒したことは想像に難くありません。

そして新たなサーバを求めて海外の数々の企業と連絡を取りますが身分証などを要求され断念します。

そして最終的にはイラン国内のサーバをハッキングし、そこでサイトを再開します。

賢い選択ですね。

政治的に対立しているイランならアメリカ政府から正式な要請があっても応じない可能性がありますから。

競合サイトの乗っ取り

hostile-takeover

Hostile Takeover (ホストル テイクオーバー)、つまりは乗っ取りです。

海外メディアにおいてマックスが他のサイトを叩き潰した事件を述べるときこの言い方をすることが多いので、それをそのまま拝借したいと思います。

アイスマン事件を語る上で最も重要なエピソードであるので関心のある人たちも多いと考えます。

ではなぜマックスは他サイトの乗っ取りを計画、実行したのでしょうか。

自尊心?

それも一部あったかもしれません。

kevin-poulsen
ケビン・ポールセン

American Greed でマックスのインタビューやケビン・ポールセンの解説を聞いている感じだと、リスク回避的な意図もあったような感じです。

つまりマックス自身はセキュリティのエキスパートとして、そういったことを考慮にサイトを構築しているにもかかわらず他のライバルサイトはセキュリティホールは開いたままにしておくわ、FBI の情報提供者のみならず捜査官までも紛れ込んでいる可能性はあるわということで、それは同じアングラビジネスを手がけるマックスにとってはいくらかのリスクになり得ると判断したのでしょう。

そして彼は2ヶ月にも渡って綿密に計画を練りついに実行します。

当日は48時間にも渡り、多少の仮眠のみでほぼ寝ずに実行するほどの気合いの入れようだったと言います。

ではどのような方法で行ったのかと言うと、SQLインジェクションが主な手法だったということです。

数あるサイバー攻撃の中ではかなり初歩的な手法ですが破壊力抜群です。

これで標的サイトの顧客情報を取得した後に DROPコマンドを実行し、ScandinavianCarding、the Vouched、TalkCash、DarkMarket、Cardingworld という5つのライバルサイトのデータベースを破壊していったのです。

実行後マックスが matrix001 のハンドルネームを持つ者に対して送り付けたメッセージの一部をここに記載します。

@matrix001:

The old forums were negligent in their security, using shared hosting, failing to use encryption of the data, logging IP addresses, using “1234” as the administrative passwords (yes really epople this is true!), and general administrative Nazism.

Some, such as TheVouched, were even giving a false sense of security, which as you know is worse than nothing at all.

You ask, what is the meaning of “all this”?

If you mean, why would we merge five carding forums together, the short answer is because I didn’t have time nor interest to merge in the other four for a total of nine!


@matrix001:

旧来のフォーラムは共有ホスティングを使い、データの暗号化を怠り、IPアドレスをログに保存したり、アドミンのパスワードも “1234” にしたり (おまえらこれは本当だぜ!) とセキュリティに関心を払っていないとともに、独裁ナチス主義的体制である。

The Vouched などいくらかのサイトはセキュリティに関して誤った感覚を与えていたが、おまえらも知っての通り、これは何もないよりタチが悪い。

なぜこのようなことをしたかって?

もしそれが5つのカーディングフォーラムを統合したのかということを意味してるのだったら、それは端的に言えば俺には合計9つにもなる他の4つのサイトを統合するような時間も興味もないからだよ!

質問者はおそらく「なぜ他サイトを乗っ取るようなことをしたんだ」ということを聞いているのであって「なぜ他の4つのサイトは乗っ取らなかったんだ」というようなことは聞いていないと思われます。

ですからマックスのこのやり返しは完全に皮肉ですね。

以下はホストル テイクオーバーの思い出を語るマックスです。

なんか嬉しそうですね 笑

max-talking-about-hostile-takeover-1

Shut their sites down, deleted their databases..

彼らのサイトをシャットダウンし、データベースをデリートして・・・

max-talking-about-hostile-takeover-2

imported into ours, Carders Market.

私たちのカーダーズマーケットに (それらデータを) インポートしました。

max-talking-about-hostile-takeover-3

And, uh, I don’t know… it seemed fun, at the time.

なんででしょう・・・そのときは楽しいことのように感じました。

潰されたフォーラムの管理者たちは怒り狂ったでしょうね。

実際にこの後それらフォーラムの関係者たちとマックスの間でサイバー戦争が勃発しています。

マスタースプリンター

keith-mularski
キース・ムラスキー

マスタースプリンター。

本名をキース・ムラスキー (Keith Mularski) と言います。

この一連のアイスマン事件を一番間近で見ていた FBI捜査官です。

経歴を長々と述べるつもりはありませんが、要するにマックスを逮捕するために第一線で活動していた人物です。

彼はもちろんマックスの素性は知らないので「アイスマンの正体をつかむために第一線で活動していた捜査官」と言ったほうが正しいかもしれません。

彼は世界有数のスパマーを装うためマスタースプリンター (Master Splyntr) というハンドルネームを自らに付与し、Web のアンダーグラウンドに参加をし内偵調査していました。

実はアイスマン事件を語る上で欠かせない人物なのですが、なぜか仰天ニュースでの出演は一切ありませんでした。

ホストル テイクオーバーの後、マックスは一度叩き潰したライバルサイトであるダークマーケット (DarkMarket) に度々侵入してはランダムにアカウントを消すなどの嫌がらせを繰り返しており、ダークマーケット側もカーダーズマーケットに対して DDoS攻撃を仕掛け、それにマックスがこちらも DDoS で応戦するなどの状態が続いていました。

マックスは相手の DDoSパケットを吸収するためのバンド幅を求め、アメリカのホスティング会社に密かにシステムを構築し、そこからリダイレクトさせる形でカーダーズマーケットにつなぐなどして攻撃を無力化することまでしています。

JiLsi というハンドルネームを持っていたダークマーケットの管理者もマックスとやり合うことにうんざりしたのでしょう。

彼は仲間であるマスタースプリンターにサイトの運営を任せることにします。

もちろん仕事を任せた当のマスタースプリンターが捜査官ということは知らなかったでしょう。

このようにして FBI捜査官が管理するフォーラムが出来上がりました。

相変わらずマックスはダークマーケットへの侵入を繰り返していたようで、実際にホストル テイクオーバー後も複数回データベースを破壊しています。

このようなこともあり、データベースのバックアップを取るというのがムラスキーの日課になっていました。

彼も American Greed の中のインタビューにおいてマックスのことを “real elite hacker” と言い実力を認めています。

「ダークマーケットには捜査官が紛れ込んでいる」という噂を耳にしたマックスは調査のためダークマーケットをホストしているサーバに再び侵入します。

そこで root shell を使用し管理者権限を持つユーザがアクセスに使用している IPアドレスをチェックしているときマスタースプリンターの箇所で止まります。


画像:Whois.net

調べてみると Pembrooke Assosiates という企業から接続されていることがわかり、さらなる情報を求め Whois.net でその企業のサイトである Pembetal.com を調べ、そこで取得した電話番号を Anywho.com で検索をかけると、ひとつの住所がヒットします。

そこはなんと National Cyber Forensics and Training Alliance (NCFTA) という FBI などが協力して設立した共同経営企業だったのです。

国内でも日本版NCFTA が設立されたことが少し話題になりましたね。

こうしてマスタースプリンターが FBI の捜査官であるということがマックスにバレてしまいました。

マックスはすぐさまマスタースプリンターをサイバー空間での人民裁判にかけましたが、ムラスキーも急いで Pembrook Assosiate のドメイン名の情報を書き換えるなど、証拠を隠滅したため招集がかけられたメンバーが Whois.net で調べたときにはすでに NCFTA と結びつける情報はなく、さらにマックスは日頃からまわりの人たちを捜査官だの情報提供者だの叫んでいたので、いわゆるオオカミ少年のような目で見られてしまい試みは失敗に終わります。

このあたりからマックスの運命は悪い方向へと傾いていきます。

次章:天才ハッカーアイスマンの正体とマックス・バトラーの素顔 – 第7章

<アイスマン関連書籍>


どんなささいなコメントでもウエルカムです。全てに返答いたします。
  • はてなブックマーク share button
  • Pinterest share button
  • Pocket share button
  • LINE share button
  • Instagram follow button
  • Feedly follow button
  • RSS follow button