Anonymous Operation Last Resort (#OpLastResort)

(1/28, 2/5追記あり)
http://repo.openpandora.org/files/pnd/nyancat-app/01.png

Anonymousが昨日新たな攻撃作戦 Operation Last Resortを実施した。ターゲットになったのは United States Sentencing Commission (ussc.gov)のサイト。日本時間の昨日午後にサイトは Anonymousに掌握され、トップページは改ざんされて Anonymousのメッセージが掲載された。その後、サイトはオフラインとなったが今日になって復旧したようだ。
改ざんされた時のスクリーンショット → http://freze.it/1mT


これは 2週間前に起きた Aaron Swartzの自殺により、その報復措置として行われたものだ。Anonymousはメッセージの中で、自殺の原因となったと考えられる法律の改正などを求めている。また同時に、複数の政府関連サイトから取得したと思われる機密情報を暗号化したファイル(約1.2GB)を公開し、米政府が Anonymousの要求に応じなければ、復号するための鍵を公開すると発表した。公開されたファイルは 9つに分割されており、それぞれに米国の最高裁判所の 9人の判事の名前が付いている。現時点でファイルの中身は不明。彼等はこれらのファイルを Warhead (弾頭)と呼んでいる。

(参考記事) Anonymous hacks US Sentencing Commission, distributes files | ZDNet

公開されたファイル名の一覧

Scalia.Warhead1
Kennedy.Warhead1
Thomas.Warhead1
Ginsburg.Warhead1
Breyer.Warhead1
Roberts.Warhead1
Alito.Warhead1
Sotomayor.Warhead1
Kagan.Warhead1


しかし米政府がこんな要求を聞くわけもなく、当然ながら Anonymousもそれを予想していると思われる。今回の作戦もおそらく事前に入念に準備をしたうえで行っており、次の一手についても何か考えているのではないだろうか。


(1/28 追記 その1)
昨日復旧したばかりの ussc.govが再び改ざんされてしまったようで、オフラインになっている。コナミコマンド「上上下下左右左右BA」を入力すると…w
(参考記事) Anonymous re-hacks US Sentencing site into video game Asteroids | ZDNet


(1/28 追記 その2)
ussc.govがダウンしている間に、別の米政府関連サイトも改ざんされた。詳しくはコチラ。


(2/5 追記)
Anonymousが米銀行関係者の多数の個人情報をリークした。いわゆる d0x。詳しくはコチラ。

米銀行への DoS攻撃作戦 Operation Ababilとは何か?

(1/29, 3/6 追記あり)

はじめに

昨年 9月から米国の複数の大手銀行が断続的にかなり大規模な DDoS攻撃を受けていることを皆さんご存知だろうか? どうも日本ではあまり報道されていないような感じなので、もしかすると知らない人も多いかもしれない。攻撃規模が大きいのと、数週間にわたって攻撃が継続している(現在も続いている)ことから、それなりに注目されている事件である。このエントリでは “Operation Ababil”と呼ばれているこの攻撃作戦の概要についてまとめてみたいと思う。

攻撃の原因は?

そもそもの発端は “Innocence of Muslim”という映画にある。エジプト系アメリカ人の監督が撮影した反イスラムをテーマとしたこの低予算映画は、2012å¹´6月に公開され、7月にはいると監督自身によって 13分余りの予告編が YouTubeにアップロードされた。

当初ほとんど注目されていなかったが、9月までにこの動画にアラビア語の字幕がつけられると、イスラム教を侮辱する内容だとして主にイスラム教国家において批判が巻き起こった。9月にエジプトやリビアなどで起こった米国在外公館襲撃事件の引き金ともなっている*1。


そしてこれと時を同じくして、Pastebinで "Izz ad-Din al-Qassam Cyber Fighters"を名乗る人物による攻撃予告文が公開された*2。最初のターゲットとして Bank of Americaと NewYork Stock Exchangeを指定し、動画が削除されるまで攻撃を行うと宣言したのである。映画とは直接関係のない金融機関を狙った理由だが、自分達に対して行われたことに釣り合うだけのインパクトがあり、米国の政治家や意思決定を行う人々に自らの主張を伝える効果が高い(それくらいの影響がある)、と考えたからのようだ。

なお Googleは複数のイスラム教国家において、問題の動画への閲覧を制限する措置をとっているようだが*3、動画の削除には応じる気配をみせていない。表現の自由を最大限に尊重する米国においては、違法にアップロードされたものでない限り、そう簡単に削除するわけにはいかないようだ。

攻撃の規模は?

攻撃は 9月から10月にかけて行われた Phase1と、12月から1月にかけて行われ現在も続いている Phase2に分けられる。

Phase1で攻撃のターゲットとなったのは、Bank of America, JPMorgan Chase, Capital One, SunTrust, Regions Bank, BB&T, HSBC, PNC, Wells Fargoなどの金融機関。DDoS攻撃対策サービス大手の Prolexic Technologiesはターゲットとなったある顧客の環境において、最大 70Gbps (30Mpps)の攻撃トラフィックを観測したことを明らかにしている。それによると ICMPや UDPパケットで回線を埋めつくすタイプの単純な攻撃だけでなく、サーバのアプリケーションレイヤーへの攻撃、SSLへの攻撃など複数の攻撃手法を組み合せているようだ。


攻撃は10月末から一時止まっていたのだが(イスラムの祝日などによる)、12月にはいると Phase2として再び攻撃が始まった。これまでターゲットになったのは、Citigroup, Wells Fargo, HSBC, PNC, Capital One, Ally Financial, BB&T, Suntrust, Fifth Third Bancorp, Zions Bancorporationなどの金融機関。Phase1で攻撃を受けたところを含めて、攻撃対象が拡大しているようだ。
DDoS攻撃対策サービス大手の Arbor Networksによると、Phase2において最大 60Gbpsの攻撃トラフィックを観測している。Phase1と同様に ICMP, UDP, HTTP, HTTPSなどによる複合攻撃だが、さらに新しいバージョンの攻撃ツールが使われているという。


Prolexicや Arborなどのサービスを利用して攻撃を防いだところもあるようだが、サービス停止に追いこまれるサイトもかなりある。例えば PNCは Phase1の攻撃において、9/27から 9/28にかけて 31時間にわたる DoS攻撃を受け、顧客へのサービスに影響があったことを認めている。

また Wells Fargoも Phase1の攻撃に関して、Twitterでサービス停止について顧客に謝罪している。

米国の一流の金融機関であるから、一般の企業に比べてセキュリティ対策はかなり強固なものと思われるが、それでも 60-70Gbpsクラスの DoS攻撃を受けては相当厳しいだろう。Arborや Prolexicなどの報告によると、近年では 10Gbps越えの攻撃は常態化している。このクラスの攻撃を一般企業が自社で防ぐことはかなり難しく、世界的に見ても DDoS対策専門のサービスを利用して防ぐしかないのが現状である。


ところで攻撃規模に関しては一つ注意点があるので補足しておきたい。Prolexicなどの DDoS攻撃対策サービスでは世界各地に複数のデータセンターを持っており、IP Anycastを使って攻撃トラフィックを最寄りのデータセンターで分散処理している。従って 70Gbpsと言っても 1箇所で処理しているわけではなく、ピーク時の全ての攻撃トラフィックを合計した値だと思われる。(攻撃トラフィックの発生元が狭い範囲に集中しているのであれば別だが。)

攻撃の方法は?

次に攻撃方法(ツール)について見てみよう。さきほどから紹介している Arborや Prolexicなどが攻撃ツールについても報告しており、それによると攻撃者は複数のツールを利用していることがわかっている。また攻撃時期によって変化もしているようだ。代表的なものは Itsoknoproblembro (It's OK. No problem, bro! と読む、別名 brobot)という PHPスクリプトによる攻撃ツールである。規模の大きい DDoS攻撃を実施する場合、Botnetを利用して大量の Botからの攻撃トラフィックを一度に集中させる攻撃が一般的である。今回も同じように Botnetを利用しているのだが、クライアントPCに設置した Botでなく、サーバに設置した Botを使っている点がやや新しい。WordPressや Joomlaなどの既知の脆弱性を突いて複数のサーバ上に PHPの攻撃スクリプトを設置しておき、攻撃者からの指令を受けてこれらの Botが一斉に攻撃を行っている。

以下に攻撃コードのサンプルを示す。(TCPによる攻撃を行う stcp.phpのコードの一部)

while(time() < $max_time)
	{
		if(time() > $release_time && $first1==0)
		{
			$first1=1;
			$address_host="http://".$_SERVER['HTTP_HOST']."/".$_SERVER['PHP_SELF'];
			$ch =@curl_init();
			@curl_setopt($ch,CURLOPT_URL,$address_host."?action=start&time_s=$time&time_e=$max_time&page=$action1");
			@curl_setopt($ch,CURLOPT_SSL_VERIFYPEER,FALSE);
			@curl_setopt($ch,CURLOPT_SSL_VERIFYHOST,2);
			@curl_setopt($ch,CURLOPT_HEADER,1);
			@curl_setopt($ch,CURLOPT_RETURNTRANSFER,0);
			@curl_setopt($ch,CURLOPT_TIMEOUT,10);
			@curl_exec($ch);
		}
		if(time() > $step_time)
		{
			@exit();
			@die();
		}
		@stream_set_timeout($socket,0,1);		
		$socket = @stream_socket_client("tcp://$host:$port",$err,$err2,1,STREAM_CLIENT_ASYNC_CONNECT);
		if ($socket) 
		{
			@stream_set_write_buffer($socket, 0);
			@stream_socket_sendto($socket,$out);
		}
		@fclose($socket);
	}
	$base = dirname(__FILE__)."/";
	$ffp2=fopen("stp.hp","w+");
	fclose($ffp2);
	unlink("stp.hp");
	//unlink($base."stcp.php");
	//cmdexec("killall ping");
	die();


さて今回の DDoS攻撃を行っている攻撃者は、これらの Botnetの構築も自分達で行ったのだろうか? この点について Incapsulaというセキュリティベンダーが自社の Blogで興味深い報告を行っている。彼等の顧客のうちの一つがこの攻撃スクリプトに感染していたため、その活動内容を観測して結果を公開しているのだ。

それによるとイギリスにある小規模な Webサイトに設置された攻撃スクリプトに対して、PNCや HSBCなどの金融機関への攻撃がトルコにあるC&Cサーバから指示されていたという。攻撃スクリプトは多重に実行されるようになっていて、サーバリソースを最大限まで活用できるようになっていた。また攻撃は 7分間から最大でも1時間と幅はあるものの、一定時間に限って行われており、さらに金融機関とはまるで関係のない Eコマースサイトへの攻撃も間に行われていたという。これらの事実から、この攻撃は有料のレンタル Botnetを利用して行われている、と彼等は結論づけている。攻撃の全てが依存しているかはわからないが、一部で Botnetをレンタルしているというのはおそらく正しいのだろう。

なお今回の攻撃ではサーバ設置型の Botが利用されていることから、クラウド事業者などがデータセンターで持っている広帯域のネットワーク回線が攻撃に利用され、それが攻撃規模が大きくなった要因なのではないか、との見方も多い。しかし攻撃トラフィックの発生元に関するデータが公開されていないので、事実かどうかは定かではない。

誰が攻撃しているのか?

さて次に攻撃者がはたして誰なのかという疑問についてだが、この点に関してもさまざまな意見が出ている。攻撃者自身は自らのことを "Izz ad-Din al-Qassam Cyber Fighters"と名乗っており、攻撃予告や攻撃状況について度々 Pastebinに投稿している。また複数のメディアへのインタビューに応じており、自らその内容を公開している。

これらが実際の攻撃者による回答だとすると、彼等の語っている内容はおよそ次のとおりである。

  • イスラム教を侮辱する内容の映画、ビデオが公開されたことへの抗議が攻撃の目的
  • 特定の国家や組織による攻撃への関与はなく、他の組織と協力したこともない
  • 攻撃は多数のボランティアによって行われているが、参加メンバーは一定ではなく、また特定のリーダーもいない
  • YouTubeからビデオが削除されれば直ちに攻撃は中止する
  • 攻撃対象や攻撃方法を今後どうするかは状況次第


一方 NYTimesは 2013年1月8日の記事で、米国による経済制裁やサイバー攻撃への報復として、イランが DoS攻撃を実施している、との米政府関係者の話を伝えている。

またセキュリティ研究者らによる OSINT (Open Source Intelligence)の結果でも、攻撃者グループに関係すると思われるブログへの投稿などから、この攻撃とイランとの関係を示唆するものがある。


しかし当然ながらイランは攻撃への関与を否定しているし、攻撃者へのインタビューにおいてもイランを含め特定の国家による関与を否定している。また上記の NYTimesの記事ではイランの関与を示す根拠となる情報がなんら開示されていない。真相は不明である。

今後の動き

この記事を執筆している 1/21時点において、Phase2の攻撃はまだ継続しているようだ。最近の攻撃者による投稿では、YouTubeで公開されている複数のビデオの閲覧状況などから攻撃期間を算定する方程式をひねり出していて、その計算によるとあと13ヶ月間は攻撃を継続することになる。はたしてどこまで本気なのかよくわからない。しかし現状では YouTubeによるビデオの削除が行われる見込みは薄く、攻撃がすぐに中止される可能性も低そうだ。

また今のところ攻撃対象は米国の金融機関のみに限定されているが、攻撃者がインタビューでも語っているように、今後の状況次第ではどうなるかわからない。しばらく状況の推移を注視する必要がある。

まとめ

以上、昨年 9月から継続している米金融機関への DDoS攻撃作戦について、その概要をまとめてみた。DoS攻撃の規模が非常に大きく、また攻撃が長期に渡って継続していること、サーバ設置型の Botnetを利用していることなど、今回の攻撃はこれまで過去にあまり見られなかった特徴をもっている。一方で、彼らの主張する通りであるならば、リーダー不在のボランティアコミュニティの協力によって攻撃が行われるなど、Anonymousによる攻撃作戦などとの類似も見られ非常に興味深い。(あるいはそう装っているだけかもしれないが。)


(1/29 追記)
YouTubeで公開されている複数のビデオのうち、最も再生回数の多かった一つが削除された。削除理由はよくわからない。これを受けて攻撃者グループは声明を出し、今回の動きを評価するとともに米銀行への DDoS攻撃を一時中断すると発表した。ただしこれは他にまだ多数残っているビデオを削除するための時間的猶予を与えるためであり、さらなるビデオの削除が行われない場合、攻撃が再開される可能性が高い。

The al-Qassam cyber fighters lauds this positive measure of YouTube and on this basis suspends his operation and plans to give a time to Google and U.S. government to remove the other copies of film as well. During the suspension of Operation Ababil, no attack to U.S. banks would take place by al-Qassam cyber fighters.


(3/6 追記)
攻撃は 1ヶ月余り中断されたが、その間にビデオの削除が行われなかったことから、攻撃者グループは米金融機関への DDoS攻撃を再開するとの声明を出した。

Now at the end of one month time it is seen that other copies of the film yet exist in YouTube so we announce the Phase 3 of Operation Ababil will start this week.

During runnnig Operation Ababil Phase 3, like previous phases, a number of american banks will be hit by denial of service attacks three days a week, on Tuesday, Wednesday and Thursday during working hours.

*1:このあたりの経緯については Wikipediaを参考にした。

*2:Izz ad-Din al-Qassamとは80年前に亡くなったイスラムの指導者の名前らしい。

*3:国内からのアクセスにおいても、攻撃的な内容を含んでいるとの警告メッセージが表示される。

Anonymousについて語るなら、これくらいは読んでおけ!

APTに続いて「読んでおけ」シリーズ第2弾。


まずは海外から。

Quinn Nortonさんによる解説記事。
Anonymous 101: Introduction to the Lulz | WIRED
Anonymous 101 Part Deux: Morals Triumph Over Lulz | WIRED
2011: The Year Anonymous Took On Cops, Dictators and Existential Dread | WIRED
How Anonymous Picks Targets, Launches Attacks, and Takes Powerful Organizations Down | WIRED


Palmy Olsonさん (Forbes) による書籍。Anonymousというよりは LulzSecに焦点をあてた内容。
http://www.amazon.com/dp/0316213543
Amazon CAPTCHA


Gabriella Colemanさん (McGill University) による解説記事。Anonymous研究の第一人者でメディアにもよく登場してコメントしてます。年内には本も出るようです。
The New Everyday | A MediaCommons Project
Our Weirdness Is Free - Triple Canopy


Joshua Cormanさん (Akamai) と Brian Martinさん (attrition.org) によるシリーズ記事。DEFCON等のカンファレンスでも Anonymousに関するパネルをよくやっていて、いくつか動画も公開されてます。(下記シリーズの Part8にリンクあり。)
http://blog.cognitivedissidents.com/2011/12/20/building-a-better-anonymous-series-part-0/


Francois Pagetさん (McAfee) によるハクティビズムに関する解説レポート。
Hacktivism - Cyberspace has become the new medium for political voices (英語版)
最新のマルウェア情報 | McAfee Labs | マカフィー (日本語版)


次に国内から。

辻さんによる Anonymousへのインタビュー記事。
本当のAnonymousが知りたいの (1/2):セキュリティ・ダークナイト(番外編) - @IT
本当のAnonymousが知りたいの (2/2):セキュリティ・ダークナイト(番外編) - @IT


塚越さんによる解説記事と最近出されたハクティビズムについての書籍。
http://synodos.livedoor.biz/archives/1850228.html
http://synodos.livedoor.biz/archives/1882729.html
http://synodos.livedoor.biz/archives/1965951.html
http://www.amazon.co.jp/dp/4797369620/


そして私が書いた Anonymousに関する FAQ記事。
いまさら聞けないAnonymous(1/3) − @IT
いまさら聞けないAnonymous(2/3) − @IT
いまさら聞けないAnonymous(3/3) − @IT


ざっとこんな感じでしょうか。やや偏りがあるかもしれませんが、メジャーなところはかなり網羅しているのではないかと思います。

Operation Japan 全体図

今夜 19:30から新宿ロフトプラスワンにて開催される「日本アノニマス超会議!!」にそなえて、景気付け(?)にブログでも書いてみるテスト。

某勉強会向けに先月作成した資料からの抜粋。Operation Japanの流れを1枚にまとめてみました。うーん、ややこしい… (^^;
まあまだ終わったわけではないのですが。


なお時系列での詳しいまとめは、こちらの piyokangoさんの記事を参照してください。
また Twitterについては @kitagawa_takuji さんが関連するツイートをまとめた togetterが大変参考になります。あわせてどうぞ。

CloudFlareの CEOが狙われた!その驚くべき手口とは?

最近 UGNaziというグループによる活動が非常に活発になっているのだが、中でも先週 6/1に発生した CloudFlareへの侵入事件がとても興味深いので、簡単に紹介したい。


UGNaziがどんなグループなのかは私もよく知らないので説明を省くが、今回もともと狙っていたのは CloudFlareではなく 4chan.org だったようだ。4chan.orgは CloudFlareのユーザなのだが、直接狙うのではなくなぜ CloudFlareを狙ったのか理由はよくわからない*1。

CloudFlareは中小規模のサイトでも手軽に利用できる CDNサービス。WAFや DDoS対策などのオプションもあり、セキュリティにも力をいれている。昨年 LulzSecの Webサイトが CloudFlareを利用したことでも注目されたし、いくつか Awardも獲得している勢いのある会社のようだ*2。


さて UGNaziは CloudFlareの CEOに目をつけた。CEOであればそこそこ個人情報も公開されているし、攻撃しやすいと考えたからかもしれない。彼らの具体的な攻撃手順は次のとおり。

  1. CEOのプライベートの Gmailアカウントを乗っ取る。
  2. CEOの CloudFlareのメールアカウント (Google Appsを利用)を乗っ取る。
  3. CloudFlareの管理者のメールアカウントを乗っ取る。
  4. 4chan.orgの管理者用の CloudFlareのアカウントを乗っ取る。

まず(1)だが攻撃者はパスワードリセット機能を悪用した。Googleユーザはパスワードを忘れたときのためにリセット機能を利用できるが、この時に確認用コードの送り先をあらかじめ決めておく必要がある。携帯電話の番号かまたは別のメールアドレスを設定するのだが、CEOは自分の携帯電話の番号を登録していた。だから攻撃者がいくらパスワードリセットをしても携帯に確認コードが送られるので乗っ取ることは不可能だ。しかし攻撃者はなんとあらかじめ CEOの携帯電話のボイスメール機能を操作して、別の番号に転送するように設定していたらしい*3。
攻撃者はあらかじめボイスメールに細工したうえで、Gmailのパスワードをリセット。CEOの携帯電話には Googleからの確認電話がかかってきたが、知らない番号からの電話だったので出なかった。電話はボイスメールにつながり、それは攻撃者の番号に転送された…というわけで、攻撃者は見事(?)に Gmailのパスワードリセットに成功してしまった。

ここからは時間との勝負。CEOも自分のGmailのパスワードがリセットされたとの通知を会社のメールで受けとり、おかしいなと思ってパスワードを元に戻す。しかし時すでに遅し、攻撃者は自分のメールアドレスをパスワードリセット用に登録していたので、再びパスワードを変更。なんと15分間に10回にわたってパスワードの変更合戦が行われたのだ。最終的には攻撃者が CEOの携帯電話と会社のメールアドレスを設定から削除。本人がパスワードリセットできないようにしてしまった。

CloudFlare側はあわてて Googleの担当者に連絡を取ろうと試みるが、その間に攻撃者は次のステップ(2)へ。CloudFlareは Google Appsを使っていて、二要素認証を有効にしていた。CEOは会社のアカウントのリセット用に自分の Gmailのアドレスを登録していた。そして二要素認証が有効な限り、パスワードを簡単にリセットすることはできない。しかしなぜかここで二要素認証は回避されてしまい、攻撃者はCEOの会社のアカウントのパスワードリセットに成功した*4。

続いて攻撃者はCEOのアカウントを利用して、他の管理者アカウントのパスワードをリセットし、こちらの乗っ取りにも成功。顧客(この場合は 4chan)のアカウントのパスワードをリセットすると、管理者のメールに通知されるようになっていたため、攻撃者は乗っ取った管理者アカウントで 4chan用アカウントのパスワードをリセット。4chan.orgの DNS設定を変更し、自分達の Twitterアカウントにリダイレクトされるようにしたようだ*5。


以上が今回の事件の概要だ。非常に手の込んだ攻撃をしていることがわかる。詳しいことは CloudFlareの CEO自身が自社の Blogで解説している。また攻撃者と CloudFlareの対応を時系列にまとめた図がとてもおもしろい。両者の緊迫した攻防が手にとるようにわかる。

(以下の図は上記 CloudFlare blogからの引用)

http://f.cl.ly/items/343m0B243k2T0K192r3d/cf-attack-timeline-phase4.png

*1:UGNaziによる 4chan.orgへのメッセージはココで読める。

*2:LulzSecのサイトに対する DDoS攻撃などもうまく防いだようだ。http://blog.cloudflare.com/58611873

*3:この件について携帯電話会社である AT&Tはノーコメント。CEOは AT&Tのサポートスタッフが攻撃者によるソーシャルエンジニアリングによって設定を変更してしまったのではないかと推測している。

*4:後日 Googleはパスワードリセット機能に問題があったことを認め、現在は解決されている。どういう問題があったのか詳細は不明。→ (06/10追記) 管理者アカウントの場合、登録されたメールアカウントからパスワードをリセットすると二要素認証が無効になる、という単純な問題だったようだ。コメントありがとうございます。

*5:この変更は CloudFlareによって元に戻されるまで約40分間続いた。

いまさら聞けない Anonymous (FAQ)

@ITに Anonymousに関する解説記事を書かせていただきました(本日公開)。知っているようで、実はよく知らない Anonymous。私にもわからないことだらけなんですが、そんな Anonymousについてよくある疑問にお答えしています。FAQとして是非ご活用ください。


いまさら聞けないAnonymous(1/3) − @IT
いまさら聞けないAnonymous(2/3) − @IT
いまさら聞けないAnonymous(3/3) − @IT

CabinCr3wのメンバーはなぜ FBIに逮捕されたのか?

2012å¹´ 3月20日、CabinCr3wのメンバーの一人でテキサス州に住む 30才の Higinio O. Ochoa III (aka w0rmer) が FBIに逮捕された*1。Anonymousの逮捕は近年ではあまり珍しくもないが、逮捕に至るまでの経緯がちょっとおもしろいので紹介しよう。


CabinCr3wは Anonymousからうまれた小グループで、OWS (Occupy Wall Street) 運動*2に呼応して 2011年後半から活動を開始し、米金融機関トップの個人情報やデモ参加者にスプレーを吹きかけた警官の個人情報を特定して公開するなどしていた。しかし今回の逮捕の主な容疑は、今年 2月に彼らが行ったアラバマ州やテキサス州の法執行機関のサイトへの不正侵入である*3。

逮捕にあたって FBIエージェントの Scott Jensenが 3月15日に裁判所に提出した文書が公開されているのだが、そこには逮捕に至るまでの経緯、調査によって判明した内容がかなり詳しく書かれている。OSINT (Open Source INTelligence) を駆使して w0rmerの実名などを特定しており、非常に興味深い内容だ。ここではその一部を紹介したい。


なお逮捕された w0rmerは 3月31日に Pastebinに投稿し、逮捕の状況について自ら語っている*4。

Criminal Complaint (告訴状) の内容

以下は告訴状に記載されている事実の一部。(日付が前後しているが、元の資料の記載にあわせた。)

  1. 2012/02/07 Twitterアカウント @Anonw0rmer が www.wvcop.com (the West Virginia Chiefs of Police Association) のサイトに侵入したことを公表。このサイトは 2/5の夜から侵入され、約150人分の個人情報が漏洩した。この情報はネットに公開された。
  2. 2012/02/09 Twitterアカウント @Anonw0rmer が Alabama DPSのサイトに侵入したことを公表し、Pastehtmlのリンクをのせる。リンク先にはサイトから漏洩したデータベースの情報が掲載されていた。また女性の写真も掲載されており、そこには w0rmerと CabinCr3wからのメッセージが書かれていた。この写真の画像ファイルには EXIFデータが残っており、iPhone 4のカメラで撮影して Adobe Photoshopで編集されたことがわかった。また GPS情報も残っており、オーストラリアで撮影されたことがわかった。(図1)
  3. 2012/02/09 Twitterアカウント @Anonw0rmerが Mobile Alabama Policeのサイトに侵入したことを公表し、Pastehtmlと Pastebayのリンクをのせる。リンク先にはサイトから漏洩したデータベースの情報が掲載されていた。
  4. 2012/02/09 Twitterアカウント @CabinCr3wが Texas Dept. of Safetyのサイトに侵入したことを公表し、Pastehtmlのリンクをのせる。リンク先にはサイトから漏洩したデータベースの情報が掲載されていた。また Alabama DPSのサイトの時と同じ女性の写真も掲載されていた。Texas DPSのサーバのログから、侵入されたのは 2/8 16:12 CSTで、SQLインジェクション攻撃であることがわかった。また裁判所からの令状により AT&Tから提供されたログから、この時間帯に攻撃元の IPアドレスを割り当てられていた女性の名前とテキサス州の住所(A)が判明した。
  5. 2012/02/20 Twitterアカウント @Anonw0rmerが www.houstoncounty.orgのサイトに侵入したことを公表。Webサイトを改ざんし、全ての管理者アカウントを削除した。
  6. 2012/02/12 Twitterアカウント @Anonw0rmerが PCのデスクトップ画面を投稿。画像から Skypeには anonw0rmerというユーザ名でログインしており、KVIrcには @higochoaというユーザ名でログインしていることがわかった。
  7. GMANEで w0rmerというキーワードを検索したところ、2000年のあるニュースグループへの投稿が見つかった。シグネチャには "-Higino Ochoa AkA w0rmer"と書かれてあった。
  8. Texas Department of Motor Vehiclesで調べると、Higinio Ochoaの運転免許証の情報が見つかった。これにより住所(B)、氏名、生年月日が判明した。
  9. Higochoaというユーザ名を Webで検索したところ、Geocaching.comのログが見つかった。Texasの Geocachingに掲載された写真の男性は、運転免許証の Higino O Ochoa IIIの写真とよく似ていた。
  10. 2012/02/05 Twitterアカウント @higochoaが wvcom.comからの情報漏洩についてツイートしていた。この時点では @Anonw0rmerのアカウントはまだ存在していなかった。
  11. 2012/02/06 Twitterアカウント @Anonw0rmerが最初のツイートを投稿した。最初のログインはチェコ共和国のアドレスからだった。他の不正侵入で記録されたアドレスも複数の国からであり、実際の IPアドレスを隠蔽していると思われた。Twitterへの 2度目のログインは Houston, TXにある ComCastが管理している IPアドレスからだった。
  12. 2012/03/02 運転免許証に記載されていた住所(B)には Ochoaは住んでいないことが判明した。賃貸契約を解約して別の住所(C)に引越していた。ここは Texas DPS侵入時の IPアドレスから割り出された住所(A)と同じアパートだった。おそらく Ochoaが隣人の WiFiネットワークを不正に利用したものと推定された。
  13. 2012/03/03 - 03/04 張り込みの結果、上記住所(C)に Ochoaが住んでいることが確認された。
  14. Higino Ochoaの Facebookプロフィールが判明した。プロフィール情報によると Ochoaは Galveston, TXに住んでいた。また付き合っている女性の Facebookプロフィールによると、彼女はオーストラリアの高校出身だった。プロフィールに投稿されていた最初の写真の EXIFデータから、写真はオーストラリアで撮影されたものとわかった。
  15. Higino Ochoaの LinkedInプロフィールも判明した。プロフィール情報によると Ochoaは Houston, TXにある会社の管理者をしていた*5。


(図1) 女性の写真の画像ファイルに記録されていたメタデータ

まとめ

FBIはこれらの情報から Ochoaが一連の不正侵入の実行犯であると判断して逮捕に踏み切ったようだ。通信会社のログや免許証の情報などは法執行機関でなければ入手できないが、その他の多くの情報はインターネットで誰でも入手できる。実際、今回の記事を書くにあたって告訴状に記載されていた内容は自分でも確認できた。私達は好むと好まざるとにかかわらず、個人情報ダダ漏れの時代を生きている。改めてそれを感じさせる事例ではないだろうか… *6

2012-04-17 追記

CabinCr3wのもう一人のメンバーでオハイオ州に住む John Anthony Borell III (aka Kahuna) ã‚‚ Ochoaと同じく 3/20に FBIに逮捕されていたことがわかった。4/16に公開された起訴状から明らかになった。ただし逮捕容疑は Ochoaとは別で Utah Chiefs of Police (http://www.utahchiefs.org/)と Salt Lake City Police Department (http://slcpd.com) の 2つのサイトへの侵入事件。いずれも 1月の Operation Megauploadに関連して起きた攻撃。

(参考)
Ohio man charged with Anonymous-sponsored attacks on police websites | Ars Technica
404 Not Found

*1:逮捕の翌日にすぐに保釈されたようだ。

*2:OWSは昨年よりやや規模が小さくなったものの、現在もまだ続いている。

*3:CabinCr3wは #OpPiggyBank 作戦と称して、これらの Webサイトを改ざんし、内部情報を漏洩した。また他にも多数のサイトに侵入している。

*4:ただし保釈中のコンピュータの使用は許可されていないため、彼の弁護士によると Ochoaが書いた文章を別の誰かが投稿したものらしい。

*5:Galvestonは Houstonの郊外にある。

*6:日本でも 2chなどで個人を特定する祭りが度々起こるが、やっていることは今回の事例とほとんど同じと言えるだろう。