つい去年 RAID Forums というハッキングフォーラムの運営者、「Omnipotent(オムニピテント)」が英国で逮捕されている。そして英政府はFBI(米連邦捜査局)の要請に応じ彼を米国へ移送、現在裁判が行われている。
この RAID Forums の後釜となる BreachForums を立ち上げたのが今回逮捕された悪名高いハッカー「pompompurin(ポムポムプリン)」。なお、日本で大人気なゴールデンレトリバーの男の子をモチーフとしたキャラとは一切関係がないそうだ。アバターに使っている画像はまず間違いなく無許可だろう。
pompompurin は FBI により自宅のあるニューヨークで逮捕された。彼が運営していた BreachForums は現在オフライン状態だ。
pompompurin とはどのような人物
pompompurin の人物像を知るにはまず主な活動拠点であった RAIDフォーラムについて語らなければならない。RAIDフォーラムはその名の通り、SNS などで奇襲・急襲を組織的に行うためのフォーラムであった。主に人を募って自分の気に食わないファンダム、勢力やサイトなどに攻撃を計画するという使い方がされていた。
日本で言ったらかつての 2ちゃんねる のような悪ふざけをやっていたサイトだったが、利用者が歳を取るにつれ金儲けをするためにサイバー犯罪を主とするものへと変わっていった。利用者らは盗まれたデータベース、例えば ID やパスワード、クレジットカード情報、はては企業機密まで取引するようになってしまった。それだけではなく、クラッキングに使うツールなども売買され、RAIDフォーラムは英語圏最大のブラック・マーケットへと変貌を遂げた。
pompompurin はそのフォーラムの利用者でそのスジのものからはよく知られている人物だった。数々のデータリークや不正アクセス、改竄に関与しており、特に 2021年にはネット証券会社 Robinhood やツイッターをクラックしたことで名を馳せた。
さらに同年 FBI のメールサーバをクラックし、Vinnie Toria (ヴィニー・トローラア)という人物が企業の機密情報を狙っているという内容のメールを多数のセキュリティ専門会社に送りつけた事件が界隈に笑いを提供した。
ヴィニー氏はセキュリティ・リサーチャーで pompompurin の正体を特定しようと何度も試みては失敗していた。これが pompompurin の怒りを買い、長年執拗ないやがらせを受けることになる。例えば pompompurin は missingkids.org をハックしヴィニー氏がペドフェリアかつ大量誘拐犯であるため、見かけたら通報してほしいという内容のページを作成したり、彼が運営するサイトやツイッターのアカウントをハックした。
RAIDフォーラムの閉鎖と Breach フォーラムの開設
RAID フォーラムにアップロードされていた盗まれたデータのほとんどが米国企業のものだったため FBI がこれに目をつけるようになる。そして 2022年4月 に管理人をやっていた英国在住のポルトガル人「Diogo Santos Coelho ディエゴ・サントス・コエーリョ(21歳)」ハンネ「Omnipotent(オムニピテント)」が逮捕された。驚くべきことに RAID フォーラムは彼が10代で作成し、5年以上続いたサイトだ。
英国は 14-Eyes の主要国なので逮捕から引き渡しは比較的簡単だったのだろう。
RAIDフォーラムはその後に閉鎖されることになるが、pompompurin が RAID の一時的な避難所として BreachForums というサイトを開設する。前述したように pompompurin は RAID で話題の人物であったのですんなりと受け入れられた。
pompompurin は Breach Forum の運営に大変熱心でユーザからリークされたデータが本物であるか逐一確認を行っていたそうだ。こういったブラック・マーケットでは投稿されたデータが偽物であることが多い。そのため利用者は増えていき、ピーク時には 300,000 ものアカウントが作成された。
逮捕
しかし、多くのハッキングフォーラム運営者のように pompompurin の悪運も長くは続かなかった。3月15日になんとFBIのお膝下であるニューヨーク州ピークスキルの自宅で「Conner Brian Fizpatrick、コナー・ブライアン・フィッツパトリック(20)」は不正アクセスに使うツールを販売すると謳い、個人を勧誘した詐欺共謀の罪で逮捕された。
数日後、Breach フォーラムとそのミラーを行っていた onion サイトがオフラインになった。
pompompurin はまだ20歳だったこともあり保釈金 300,000ドルは保護者によって支払われた。
Breach Forumsのその後
歴史を省みるにいくら重い罰則を与えようがこういうフォーラムの出現は途絶えない。案の定、pompompurin の逮捕後すぐに Baphoment (バフォメット)という人物が現れ、pompompurin のアカウントを凍結し新たな管理者となった。Baphoment は Breach Forums のすべてのデータを新たなフォーラムに移行し新たな環境でフォーラムを立ち上げることを発表した。
さらに法的機関がログインしていないかどうかログも精査したらしい。過去に RAID Forums の管理人が逮捕されたあと、 FBI がハッカーを捕まえるためにしばらくの間フォーラムを運用して情報を抜き取っていたからだ。その結果、 pompompurin が逮捕されてまもなく同アカウントで怪しい動きがあったことがわかり、ログ、ソースコード含めすべてが安全でない可能性があること、すべてのデータを破棄し新たなフォーラムを開設することにしたようだ。
公開された裁判記録には、pompompurin は VPN やリレーを介さず、自宅のアドレスから直接 BreachForums にアクセスしてしまったことがあるという情報が載せられている。このことから FBI は pompompurin の PC だけでなく BreachForums のデータベースにフルアクセスできる権限を握っていることがわかる。
現在 Breach フォーラムはオフラインで Telegram チャンネルのみが動いている状態だが、近々また動きがあるのだろう。
なにが特定につながったのか
ときは 2020年末 RAID Fourms が存在していたときまで遡る。pompompurin が ai.type のデータ流出問題について管理人 Omnipotent とやり取りをしていた。
pompompurin は RAID Forums で取引されている ai.type の流出データが不完全なものであると指摘し、その証拠として検索に使ったメールアドレスをここに書き込んでしまった。pompompurin はこの会話の中でこれは自身のメールアドレスではないとしているが「conorfitzpatrick02@gmail.com」というガッツリと本名が入った本人のメールアドレスだった。 Omnipotent も気づかなかったのだろう。
しかし FBI はこれに目をつけた。2022年に RAID Forums を差し押さえた後、このログを発見した FBI は Google に令状を出し、この Gmail アカウントは Google Pay と連携されていることを知る。さらにこの Google Pay に登録されている情報と同じものが使われている別の GMail アカウント「conorfitzpatrick2002@gmail.com」を発見した。 FBI はこのメールアドレスにアクセスしていた IPアドレスが「pompompurin@riseup.net」という Zoom アカウントにアクセスしていたことを突き止めた。このメールアドレスは RAID Forums にログインする際に pompompurin が使っていたものと同一のものだった。
pompompurin はリアルとオンライン・アイデンティティを混同するという致命的なミスをしてしまった。しかも先の Google Pay アカウントは pompompurin の現住所が記載れていたので追跡するのは容易だったはず。
過去に捕まった多くのサイバー犯罪者と同じように肥大化したエゴが特定につながったのではないだろうか。
おわり
Image by www_slon_pics from Pixabay
コメント