piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Twitterハッキングから2週間で当局が訴追した方法についてまとめてみた

2020年7月31日、アメリカ司法省は7月16日(日本時間)に発生したTwitterの多数のアカウントがハッキングされた事件を受け、事件の首謀者らを訴追したと発表しました。ここでは当局による一連の捜査方法について関連する情報をまとめます。

Twitterハッキング事件そのものについては以下の記事にまとめています。
piyolog.hatenadiary.jp

主犯は17歳の少年

  • 米司法省が発表したハッキング事件で起訴されたのは米国人2名、英国人1名の3人。NYTの報道で名前の挙がっていた関係者4人の内、2人が含まれている。
  • 起訴された3人の内1人は17歳(未成年)のため司法省サイトでは訴状等詳細な情報は公開されていない。ただしフロリダ州法によれば、今回の様な金融詐欺事件は未成年者であっても成人として起訴されるという。同州法執行局の発表では訴状や本名なども掲載されている。
  • 訴状の内容から、Twitter社の管理ツールへ不正アクセスし、アカウントのっとりを実質的に行っていたのは17歳の少年とみられる。
起訴された人物 ハンドルネーム 訴状
米国フロリダ州タンパ 17歳の少年 Kirk#5270
英国ボグナーリージスの19歳の男 ever so anxious#0001/Chaewon/Mason
米国フロリダ州オーランドの22歳の男 Rolex#0373
  • 捜査は英米合同で行われており、米連邦捜査局、米フロリダ州法執行局、カリフォルニア州北部地区連邦検事局、米内国歳入庁、米シークレットサービス、英国家犯罪捜査庁の協力により行われた。
f:id:piyokango:20200803025455p:plain
米司法省の発表

事件から2週間で起訴

  • 捜査は当時やり取りの行われていたDiscord上のチャットとOGUsers[.]comのリークデータを元に、関連する暗号資産のウォレットアドレスやメールアドレスを取得。これらの情報を元に取引所に対し情報照会をかけ、ハッキング犯の人物特定を行っていた。
捜査(1)Discordのチャットログ分析
  • 当局は令状に基づきDiscord社よりチャットログを入手(7月17日)し捜査を開始。
  • チャット中より、主犯(Kirk#5270)を確認し、Twitterアカウントの販売を計画するやり取りを行っていたとして関係者2名(Rolex#0373、ever so anxious#0001)を特定した。
  • Kirk#5270はTwitter社の内部管理ツールの画像を当該行為を可能としている証拠としてアップロード。Twitterアカウントの買い手探しの支援役(仲介者)として連絡を取った相手を利用しようとしていた。
  • Discord上では、販売金額の相談や奪取したアカウントのやり取り、広告先の確認等が行われていた。
捜査(2)過去流出のフォーラムデータを利用
  • Rolex#0373、ever so anxious#0001によりアカウント販売の宣伝が行われていたOGUsers[.]comは2020年4月2日にハッキング被害に遭い、競合のフォーラムがOGUsers[.]comのデータベースのダウンロード可能なリンクを公開していた。FBIは4月9日頃にこのリークされたデータベースを入手しており今回の捜査で使用している。
  • データベースにはフォーラムの投稿やプライベートメッセージ、IPアドレス、メールアドレスの他、ログイン時使用されたIPアドレスと日付のリストも含まれていた。
  • 取得したリークデータに対し、今回の事件に関連するDiscordアカウント名の突合やフォーラムへの投稿、プライベートメッセージ等を参照しBTCの振込先や連絡先の把握、接続元IPアドレスの確認が行われた。
捜査(3)取引所に情報照会し特定
  • 内国歳入庁調査官がブロックチェーンの分析を担当。*1送金金額や取引タイミング等を元に関連するウォレットアドレスの特定を行っていた。
  • これらの分析を通じ関係者の取引所(Coinbase、Binance)の利用が判明。当局は令状に基づき、関連する取引所に対し、ウォレットアドレス、メールアドレスを元にアカウント情報を照会。
  • アカウント作成時に提供された本人確認資料(運転免許証)により、関係者2名が特定された。

起訴に含まれなかったもう一人の関係者

  • NYTの報道では「lol」というハンドルネームの自称20代の人物が取材に応じていたが、この人物は今回の起訴には含まれていなかった。ただし、ever so anxious#0001の訴状の中で当該人物とみられる少年に関する言及がある。
  • 2020年7月21日にカリフォルニア州北部地区の住宅で家宅捜索を受けた少年(Juvenile 1)の記載がされていた。少年1は令状執行を受け事情聴取に応じ、聴取を通じ違法なTwitterアカウントの販売に参加していたこと、そしてever so anxious#0001とともに販売行為を行っていたことを認めた。
  • 少年1はever so anxious#0001を英国在住でMasonという名前で知る間柄で、事件後二人は当局へ自首することを相談していた。
  • KrebsOnSecurityはlolが米カリフォルニア州ダンビルの高校に通っていた若い男性ではないかと7月22日の記事で指摘していた。

被害金額

  • 詐欺に関連するビットコインアドレスでは約426件のやり取りが行われていた。
  • この内、約415件が他のビットコインアドレスからの送金で合計すると約12.86 BTC(約117,457.86ドル相当)。約11件は詐欺関連アドレスからの送金で合計すると12.83 BTCが送金された。(取得したBTCの99.74%)別のアドレスへの送金は資金洗浄を意図した行為とみられている。

更新履歴

  • 2020年8月3日 AM 新規作成
  • 2020年8月3日 PM フロリダ州少年に関する訴状を追記

*1:訴状には記載がないが分析企業CipherTraceも捜査協力したという