「変な子だね」:ある少年暗号資産ハッカーの刑務所での供述
TechFlow厳選深潮セレクト
「変な子だね」:ある少年暗号資産ハッカーの刑務所での供述
10年の懲役刑が、この「大多数の人々よりも賢い」少年に対して抑止力となることを願っている。
Web3業界の深掘り報道に専念し潮流を洞察著者:マーギー・マーフィー
翻訳:TechFlow
ノア・アーバン(Noah Urban)は、悪名高い「Scattered Spider」グループにおいて、人々を騙して機密コンピュータシステムへのアクセス権を犯罪者に提供させる役割を担っていた。
2022年9月のある午後、金の袋やピエロの絵文字が飛び交い、「lmfaos」(笑って死ぬほど)や「loooools」(めちゃくちゃ笑える)という言葉が飛び交うTelegramのグループチャットに、血まみれの少年のピクセル化されたサムネイル画像が現れた。当時18歳でフロリダ州パームコーストに住んでいたノア・アーバンは、その動画を開いた。
映像の中で、少年は頭に銃を突きつけられながら、ノアに20万ドルを振り込むよう懇願していた。「エリヤ(Elijah)、本当に兄弟、俺たち前にも一緒にやったことあるだろ?」少年はノアのハンドルネームで呼びかけた。彼の顔は腫れ上がり、口の中は血で満たされ、白いHollisterのスウェットシャツに血が滴っていた。「お前がいつも俺を支えてくれてること、知ってる。だから教えてくれ、何でもやるからよ。」
ノアはその少年をすぐに思い出した。ジャスティン(Justin)は以前、暗号通貨を盗むためにノアのために働いていた人物だった。フルネームは知らなかったが、ノアは誘拐犯に屈するべきではないと判断した。それに、この動画は偽物かもしれないとも思った。そのため、彼は資金を送らなかった。
このような映像は多くの若者を恐怖に陥れるだろうが、2022年時点でノアはすでにこれ以上のことを何度も見てきた。当時、彼は連邦捜査局(FBI)の追跡を逃れており、後に「Scattered Spider」と呼ばれるサイバー犯罪グループの一員として活動していた(深潮注:UNC3944とも呼ばれ、主に米国および英国出身の青少年・若者で構成されるハッカー集団。複雑なソーシャルエンジニアリングとサイバー攻撃で知られる)。このグループは、米国および英国の企業に対する数十件の攻撃に関与し、世界でも最も悪名高いサイバー犯罪組織の一つとなった。中でも特に重大なのは、2023年にミラージュリゾーツインターナショナル(MGM Resorts International)に対して行われたランサムウェア攻撃であり、カジノのコンピュータシステムが停止し、会社に1億ドルの損失をもたらした。また今年初頭には、英国小売大手マークス&スペンサー・グループPLCに対する攻撃も行われ、約4億ドルの損失が予想されている。
ラスベガスのMGMホテル&カジノ。
写真:AaronP/Getty Images
連邦捜査局(FBI)と英国国家犯罪局(NCA)は、「Scattered Spider」を重点的に摘発対象としている。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、このグループを「米国機関にとって深刻かつ継続的な脅威」と評価している。サイバー防衛企業マンディアント(Mandiant)は、同グループを「欧米の機関に対し、最も積極的かつ浸透力の高い脅威行為者の一つ」と位置づけている。昨年には『60ミニッツ』番組が、「Scattered Spider」がロシア系ランサムウェアハッカーとつながっている可能性について報じた。
ノアはこのグループ内で「電話詐欺師(caller)」という重要な役割を果たしていた。彼の経歴は、技術力を持たない高校生が、ゲームから始まり、急速に暗号通貨を盗むようになり、最終的には電話による社会工学的手法で通信・IT企業のネットワークに侵入して機密データを盗み出すまでに至った、一種の警告物語である。彼はフロリダ中部の中流家庭で育ち、子供の頃はクロックスとサーフパンツを履いて釣りに行ったり、ワニ園のグレーターランドでジップラインを楽しんだり、オーランドのユニバーサルスタジオに行くなど、普通の少年らしい活動をしていた。しかし、彼の犯罪がエスカレートするにつれ、仮想世界の出来事が現実世界に波及するようになった。誘拐、火炎瓶攻撃、性的嫌がらせ事件などが相次ぎ、当局の注意を引くことになった。ノアがオンラインで知り合った友人たちは今、長期禁固刑に直面している。
本記事は裁判記録、Discord上の会話、Telegramメッセージに加え、数十人の脅威インテリジェンス分析官、法執行官、そしてノアの犯罪人生に詳しい関係者たちの取材に基づいて作成された。その中にノア本人も含まれており、彼はフロリダ州の刑務所から『ブルームバーグ・ビジネスウィーク』に数十回にわたる電話インタビューを行い、判決が出るまでこれらの内容を公表しないことを条件としていた。
「こんにちは、ケビン(Kevin)と申します。T-Mobileの内部セキュリティ部門からお電話しています。」
ノアは実際には真のハッカーではなかった。彼は2004年、つまりFacebookが設立された年に生まれた。プログラミングよりも、水泳やアメフトの方が好きだった。高校時代には数人の友人と恋人もいたが、基本的に一人で行動することが多く、授業中もあまり参加しなかった。「変な子だったよ」とノアは振り返る。「友達があまりいなかったから、人と関わって得られるような社交的なニュアンスを学べなかった。」卒業から3年後には、彼の最も好きな教師でさえ彼のことを覚えていなかった。
ノアは8〜9歳の頃に『マインクラフト』(Minecraft)を始め、15歳のときにゲームを通じて知り合った人物からSIMスワップ詐欺(SIM-swapping)の存在を初めて聞いた。これは、他人の電話番号を自分が所有する携帯電話に移行させ、セキュリティコードを傍受してオンラインアカウントを乗っ取り、資金を横領する手口だ。この行為にはプログラミングスキルは不要で、鍵となるのは「ソーシャルエンジニアリング」、つまり通信会社の従業員を説得または賄賂で買収して番号を「アクティベート」させる能力である。
ノアはすぐさま優れた話し方の才能を見せた。年齢に似合わぬ低音の声で、被害者を騙して個人情報を引き出すことができた。彼はこうしたソーシャルエンジニアリング能力を両親の教育のおかげだと語る。「礼儀正しさと敬意。これが子供の頃に教わった最も大切なことだ」と言う。
『マインクラフト』で知り合ったSIMスワップグループのリーダーは、ノアが電話で暗号通貨を盗むことに成功するたびに50ドルを支払った。最初の週だけで3000ドルを稼いだ。
幼少期のノア・アーバンの写真。
出典:Rob Urban
ノアはお金に困っていなかった。幼少時に両親は離婚したが、生活はいずれも安定していた。母はオーランド北部の閉鎖型コミュニティに住宅を持ち、人事関連の仕事をしていた。父は元海軍兵士で、オンラインマーケティング会社を経営しており、近隣にプールとジャグジー付きの住宅を持っていた。
しかし、SIMスワップによるアドレナリンの高揚感と、現実では得られない友情に、ノアは夢中になった。「ウォルマートの近くで10人並んで立っていても、気が合う人は見つからないかもしれないけど、オンラインなら自分の好みに合った友達を選べる。共通の趣味を持つ人たちと一緒にいれば、とても居心地が良くなるんだ。」
ノアは約15人のプレイヤーからなるグループに参加した。メンバーには、オレゴン州ポートランド出身の17歳のダニエル・ジャーンク(Daniel Junk)と、スコットランド出身のもう一人の17歳のテイラー・ブキャナン(Tyler Buchanan)がいた。ノアによると、彼らは暗号通貨ウォレット企業Ledger SASから盗まれたデータベースを購入し、暗号通貨保有者とそのメールアドレスのリストを手に入れた。次にこれらのメールアカウントに侵入するために、Outlook、AOL、Yahoo!などのアカウントを使っている人を探し始めた。こうしたアカウントは最も突破しやすいとされていた。
こうした新しい友人たちは、「Com」(コミュニティ)と呼ばれる地下ネットワークの一部だった。このネットワークはDiscordやTelegramを中心に広がっており、多くの若者が貴重なユーザー名、ゲーム内の戦利品、アカウント乗っ取りによる暗号通貨などを狙っていた。FBIは2018年から「Com」を調査しており、捜査官の推定では、当時までにすでに5000万ドルを盗んでいたという。
より多くの「Com」メンバーが暗号通貨の盗難の容易さに気づくにつれ、SIMスワップの需要も増加した。誰かがT-Mobile US Inc.やAT&T Inc.のコールセンター支援請負業者の従業員が最も騙されやすいかを推測していた。また、子どもを携帯ショップに送り込み、カスタマーサポート担当者のiPadを盗ませる者もいた。面白半分に、窃盗の様子を撮影してネットにアップロードすることもあった。
写真:Jakub Porzycki/Getty Images
ノアによると、ジャーンクはある方法を発見した。自分のPCをT-Mobileの企業ネットワークに登録し、リモートアクセスソフトを使って同社のSIMアクティベーションツールに侵入するもので、時には数ヶ月間もアクセスを維持できた。T-Mobileが不審なログインを検出した場合、アカウントがリセットされ、ジャーンクは締め出された。そこで彼は、従業員からログイン情報を騙し取るためにノアに報酬を払い始めた。ノアはIT部門の職員を装い、ログイン情報を成功裏に盗み出した。
SIMスワップに関わる他のメンバーはDiscord上でノアの通話の様子を聞きながら、『カウンターストライク』(Counter-Strike)や『コール オブ デューティ』(Call of Duty)をプレイし、ジャーンクが用意した台本を読みながら観察していた。「こんにちは、ケビン(Kevin)です」と台本は始まる。「T-Mobileの内部セキュリティ部門からお電話しています。」無警戒な販売担当者がノアをシステム内に入れてしまうと、ジャーンクたちのグループは息をひそめてそのやり取りを聞いていた。ノアが失敗すると、彼らは腹を抱えて笑った。(T-Mobileの広報担当者は、現在は安全対策を強化し、「違法なSIMスワップを減らす」努力をしていると述べた。)
ノアがますます多くの人々を騙すにつれ、標的は予測可能であり、本質的に善良であることに気づいた。ITの依頼票を自分で提出したとは信じがたいが、誤って自分のアカウントに紐づけられたのかもしれないと信じさせることはできた――それなら、終了のために協力してくれないか? ほとんどすべての人が協力した。ノアが新たなアカウントに侵入するたびに、新しい友人たちからの称賛は『マインクラフト』での達成感よりも強かった。
「こんなに若い子供たちが、世界のどこかで銃撃事件を扇動できるなんて、信じられない。しかもほとんど責任を問われずにね。」
ノアの母親は彼が何をしているのか疑い始めた。見知らぬ人物が注文した謎のピザが自宅に届き始めた。SIMスワップに関する会話を耳にした。彼女がより厳しいルールを設けようとしたとき、16歳のノアは父の家に引っ越した。
ロバート・アーバン(Robert Urban)はフロリダ州デランにある5LDKの家に住んでいる。車庫には工具が積み重なり、リビングにはパートナーの二人の子供の玩具が散乱している。白いマルチーズ犬が彼の足元で吠える。彼はノアが自分を「敗者(buster)」と呼ぶようになったとき、何かが変わったことに気づいた。当時のノアは15歳くらいだった。「お前はフェラーリに乗ってないし、住宅ローンを払ってる。必死に働いてもまだ苦労してる。」彼はノアの言葉を思い出す。それ以来、息子の行動に「劇的な変化」があったとアーバンは感じた。
デザイナーズ服が玄関先に届いたり、珍しい社交の場でノアがダイヤモンドをふんだんにあしらった3万5000ドルのロレックス時計やルイ・ヴィトンのスニーカーを身に着けていたりすると、彼は父にこう説明した。「『マインクラフト』でアイテムを売って、そのお金を暗号通貨に投資したんだ。」アーバン自身もビットコインが好きで、彼は友人たちに息子の成功を自慢していた。
アーバンはノアに、暗号通貨資産の一部をより伝統的な投資に回すように勧めた。「いいや、パパ」とノアは答えた。「俺には俺のプランがある。」代わりに、彼は8万ドルをかけて『マインクラフト』のユーザー名「Elijah」のアカウントを購入し、Twitterの@eを3万ドルで買い、さらに@autisticを「ばかげた」額で購入した。
フロリダ州デランにあるロバート・アーバンの自宅。
写真:Michelle Bruzzese/Bloomberg Businessweek
ノアはやがて自ら電話詐欺師を雇い始めた。知り合いのジャスティンもその一人だった。彼は通信会社アカウントのセキュリティレベルに応じて、60ドルから1000ドルの報酬を支払った。電話詐欺師が従業員にリモートアクセスツールのインストールをさせることができれば、最大4000ドルを支払った。新型コロナのパンデミックで全国的に学校が閉鎖されたとき、ノアは従業員が余計に暇になることに非常に満足した。
通信会社へのアクセスが断続的だったため、いくつかのSIMスワッパーたちは互いに盗み合うようになった。一部は「ドキシング(doxing)」と呼ばれる行為を始め、他のハッカーの本名や個人情報をネットに公開して恐喝した。『ブルームバーグ・ビジネスウィーク』が確認した数十本のDiscord・Telegram動画には、若者がそれぞれのSIMスワップ派閥の名を叫びながら住宅にレンガを投げつける「ブリッキング(bricking)」の様子が映っていた。彼らは敵対者の恋人のヌード写真や個人情報をハッキングしてリークし、他人に嫌がらせを促した。専用のTelegramチャットグループまであり、Comメンバーの恋人たちを侮辱していた。
ペンシルベニア州東部ウィステン・イーストゴーシェン警察署の刑事デイビッド・ヘイル(David Hale)は、2022年1月に「Com」の存在を知った。裕福な郊外の住宅で、リビングに8発の銃弾が撃ち込まれ、3人が室内にいたのだ。2週間前には、同じ地域で別の家屋が火炎瓶攻撃を受けたとの報告があった。どちらの攻撃も、「Com」に関係する若い女性が標的になっていた。「こんなに若い子供たちが、世界のどこかで銃撃事件を扇動できるなんて、信じられない。しかもほとんど責任を問われずにね。」とヘイルは語る。
ノアは内部抗争には参加していないと語るが、トラブルが迫っていることはわかっていた。2021年、ハッカーたちが母親の家にレンガを投げ込んだ。彼らはまだそこに住んでいると思い込んでいたのだ。彼女は匿名のメッセージを受け取り、息子が数十万ドル相当の暗号通貨を移動しない限り攻撃を続けると脅された。ノアは拒否し、最終的に攻撃は止まった。
アリソン・ニクソン(Allison Nixon)は次第に不安を感じていた。サイバーセキュリティ企業Unit221Bの最高研究責任者である彼女は、ハッカーたちが警察の監視を避け続けていることに苛立ち、彼らの攻撃の過激さに懸念を抱いていた。
サイバーセキュリティ業界の大人たちは、一般的に青少年ハッカーに寛容で、彼らの才能を活かせる業界の職業へ導こうとする。しかし、ニクソンにとっては、このアプローチはもはや通用しなくなっていた。「これを解決する唯一の方法は、政府が暴力的な路上ギャングと同じように、歴史的にこの問題に対処することだ。」と彼女は言う。
彼女の助言は政府当局者には響かなかった。彼女は彼らを「完全に圧倒されている」と表現し、子どもの追跡よりも重要なことがあるかのように振る舞っていた。彼女と他のサイバーセキュリティ調査員は、法執行官に警告した。「Com」のメンバーはさらなる脅威になるかもしれないと。
2022年、ノアは高校卒業を目前にしていた。彼はますます孤立し、集会やダンスパーティーを欠席し、クラスメートがマスクを着用している様子を集めたYouTubeの動画も提出しなかった。裁判記録によれば、ノアはすでに百万長者だったが、彼は自分の犯罪事業を新たな段階に引き上げることに集中していた。
「俺が欲しかったのは、財政的自由だけだった。一日中友達と遊んで、音楽を聴くこと。」
新たな暗号通貨保有者のリストを探している中で、ノアは通信技術企業Twilio Inc.を標的にするアイデアを思いついた。同社のソフトウェアは5万社の企業が顧客とのSMSや通話を管理するために使用されており、大量の価値あるデータを持っていると考えたのだ。2022年8月、18歳の誕生日の数週間前、彼と友人は偽のドメインを購入し、ユーザ認証企業Okta Inc.のログインページに見えるウェブページを作成し、Twilioの従業員にリンク付きのSMSを送信した。
「警告!!!あなたのTwilioスケジュールが変更されました。twilio-okta.com をクリックして変更内容を確認してください!」
ノアは成功裏に一名のTwilio従業員を騙し入れた。しかし、その人物が望むデータを持っていなかったため、彼はそのSlackアカウントにログインし、LinkedInで見つけたより上級の従業員にメッセージを送った。「基本的には、監査目的とかでこれらのデータが必要なんだ、と言った」とノアは語る。「そうしたら、彼らはデータベースをエクスポートして俺に送ってくれた。」
Twilioの企業顧客アクセスコードを使って、ノアと仲間たちはさらに多くの企業に侵入した。結局、彼らはTwilioを利用している209社の顧客データ、SMS認証コードを含めて入手した。「俺たちは神みたいに感じた」とノア。
数日後、Twilioの顧客を支援するサイバーセキュリティ企業Group-IBがブログでデータ盗難事件を発表し、ハッカーを「0ktapus」と名付けた。驚いたノアは3000ドルのパソコンとスマホを捨て、新しい機器に切り替えた。まもなく、0ktapusのメンバーがデータを別のSIMスワッパーと共有し、それがさらに広範に拡散された。Comのメンバーがデータベースから名前を片端から選ぶようになると、ブラックマーケットでの価値は失われていった。
写真:Jaque Silva/Getty Images
ノアのチームは一時的に姿を消したが、警察が訪ねてこないのを見て、ますます大胆になった。Group-IBによると、0ktapusは2022年に数千人の従業員の認証情報を盗み続けた。企業アカウントに侵入すると、権限の高い従業員を見つけ出して標的にした。同年12月、温クリボス兄弟(Winklevoss twins)が所有する暗号通貨取引所Gemini Trust Co.の570万人の顧客情報を盗み、犯罪フォーラムで販売しようとした。
ノアが18歳になると、父の家を出て、フロリダ州パームコーストの静かな地区にある長期滞在用Airbnbに引っ越した。彼はベッド、テーブル、ソファ、テレビを用意し、オレオクッキーのような模様の猫「ダイアナ(Diana)」を飼った。「俺が欲しかったのは、財政的自由だけだった。一日中友達と遊んで、音楽を聴くこと。」と彼は言った。
毎週一度、彼は道奇・チャレンジャー(Dodge Challenger)を運転して商業街に行き、オリーブガーデン(Olive Garden)と鉄板焼きレストランの間で選び、100〜200ドルの現金チップを残した。また、夜の高速道路をLil Uzi Vert、Playboi Carti、Ken Carsonの音楽を聴きながらスピードを出すのが好きだった。
ノアは「Leakth.is」というフォーラムでよく活動しており、そこでは人々が好きなアーティストの「レアもの」(未発表曲)を投稿していた。彼はユニバーサル・ミュージック・グループ(Universal Music Group NV)とワーナー・ミュージック・グループ(Warner Music Group Corp.)の従業員を標的にし、サウンドエンジニアやプロデューサーのDropboxやiCloudアカウントに侵入することで、未発表の音楽ファイルがあるのではないかと考えた。
2022年、ノアはTwitterアカウント「King Bob」を使って、Playboi Cartiの未発表曲『Money N Drugs』のレア音源を公開したと主張する動画を投稿した。この名前は『怪盗グルーのミニオン危機一発』(Despicable Me)のミニオンに由来する。この投稿により、彼のフォロワー数は一夜にして1万1000人に急上昇した。ネット上ではKing Bobの正体を巡るさまざまな憶測が飛び交い、ファンたちは彼がレコード会社の宣伝担当か、裏切った制作アシスタントではないかと推測した。(レコード会社はコメントを拒否し、Playboi Cartiのマネージャーもコメント要請に応じなかった。)
ノアは、King Bobという名前を使っているのは自分だけではなく、レア音源の公開は盗難ではなく宣伝行為だと考えていると語った。しかし、彼の攻撃を受けた人々の見解は異なる。カニエ・ウェスト(Kanye West)、A$AP Rocky、Playboi Cartiのために働くプロデューサー、ナシール・ペンバートン(Nasir Pemberton)は、ノアが数百曲の楽曲を盗み、Discordで彼のDropboxのスクリーンショットを共有したと非難した。「彼は俺の人生を滅ぼしそうになった」とペンバートンは言う。
「これは完全に彼らのコミュニティ内での地位の問題だ。単なる誇示に過ぎない。」
0ktapusは「Com」の中で注目を集めた唯一のグループではなかった。後にノアのチームと連携して「Scattered Spider」と呼ばれるようになった別の派閥も、SIMスワップの枠を超えて進化しようとしていた。このグループには、かつてLapsus$に所属していたメンバーも含まれていた。Lapsus$はNVIDIA Corp.やUber Technologies Inc.を攻撃したことで知られる。メンバーの一人は「Jack」というハッカーで、ランサムウェア提供者とのつながりを自慢し、高度なセキュリティツールを回避できるソフトウェアを持っていると brag していた。(もう一人のメンバーThalha Jubairは、検察によればコードネームEarthtoStar。今月、英国で逮捕された。米国検察は9月18日に起訴状を公開し、現時点で19歳のJubairが47社の米国企業を脅迫し、総額1億1500万ドルを巻き上げたと主張した。彼の英国の弁護士はコメントを拒否した。)
ノアは彼らとの協力が「かっこいい」と感じた。彼はJackと連絡を取り始め、JackはTwilioへの侵入に感心したものの、ノアたちが企業に侵入してデータベースを盗む戦略を軽蔑した。Jackは、侵入した企業を脅して金を奪う方がはるかに速いと主張した。
ノアによると、彼らは共同で暗号通貨取引所Crypto.comの従業員アカウントに電話で侵入した。また、ユナイテッドパーセルサービス(UPS)のシステムを利用して潜在的被害者の個人データを収集した。(Crypto.comの広報担当者は、今回の攻撃はこれまで報道されておらず、影響を受けたのは「極少数の個人」に限られ、顧客資金へのアクセスはなかったと述べた。UPSは2023年に問題を修正したと発表しているが、本記事の詳細提供は拒否した。)
このグループはさらに多くのデータを求めていた。ノアは、仮想教室の合間にChatGPTを使って、暗号通貨を盗むために必要な個人情報にアクセスできる組織や、その情報を保有している可能性のある従業員の種類を研究した。2023年1月、彼らはビデオゲーム会社Riot Games Inc.に侵入し、人気ゲーム『リーグ・オブ・レジェンド』(League of Legends)のソースコードと一部の反チートツールを盗んだ。彼らは1000万ドルの支払いを求め、データの返還を条件とした。これはグループ初の身代金要求だった。Riot Gamesは支払いを拒否した。
ノアは身代金要求には参加していないと語るが、彼自身の電話詐欺技術で既に会社に侵入していた。盗難期間中に自分のRiot Gamesアカウントをアップグレードしたことが、調査員にとって重要な手がかりとなった。さらに、検察によれば、数日後に攻撃を認めているように読めるメッセージを送信したともされる。
ノアの拘置写真。
出典:ヴォルシア郡保安官事務所
2023年3月1日の早朝、すべてが崩壊し始めた。ノアが猫を連れて獣医から帰宅したとき、20人以上のFBI捜査官と警察官が彼の車を包囲し、ドアを開けるよう要求した。彼は少し躊躇い、ダイアナが逃げ出さないか心配した。その様子から捜査官は彼が何かを隠していると疑ったが、説明を聞くと猫を家に連れて行くことを許可した。
ノアはソファに座って捜索令状を読み、捜査官たちは彼の住居を徹底的に調べ、パソコンとiPhoneを没収した。彼はパスワードを提供することを拒否した。父親に電話をかけるよう求めたとき、FBI捜査官は同意し、ノアの顔の前に彼のスマホをかざしてロック解除を試みた。「良い試みだ」とノアは内心で思い、顔をそらした。
検察によると、連邦捜査官は約400万ドル相当の暗号通貨、10万ドルの現金、ロレックス時計を含む10万ドル相当の宝石類を押収した。また、紙幣カウンターとノアのソニーPlayStation 5も持ち去った。ノアによれば、彼には16ドルとパスポートだけが残されたという。
「他のすべての父親と同じように、私は心が砕けました。しかし、死ぬまで彼を愛し続け、決して見捨てません。」
ノアはその日逮捕されなかったが、FBI捜査官は彼がRiot Gamesに侵入し、いくつかの暗号通貨盗難事件に関与していると告発した。「彼らは俺に座るように言い、『お前はソーシャルエンジニアだということを知っている』と言った」とノアは回想する。「『お前はScattered Spiderの一員だとも知っている』と。」
実際、FBIは2021年からノアを追跡しており、彼はオレゴン州ポートランドでのSIMスワップ事件で下位メンバーとして特定されていた。技術スキルは乏しかったが、「当時把握していたトップスワッパーの一人」だったと、ポートランド事務所を率いる特別捜査官ダグラス・オルセン(Douglas Olson)は語る。「彼は従業員を騙して被害者の電話番号を交換し、個人情報を取得して犯罪を実行する能力に非常に、非常に長けていた。」
ノアは父の家に戻った。父親は、息子が関与した犯罪の規模を聞いたとき、衝撃を受けたと言う。同月、彼らは弁護士とともにオレゴン州へ飛んだ。そこではFBIがジャーンク、ノアの協力者の一人を追跡していた。裁判記録によると、ノアはそこで検察に、2020年末から2023年初頭にかけて最大1500万ドルを盗んだと認めた。今後は暗号通貨やハッキング活動に関わらないと誓った。
インタビュー中のノアの発言にもかかわらず、FBIのオルセンは彼が「まったく後悔の念を示していない」と感じた。オルセンによれば、ノアの社交生活全体がサイバー犯罪の実行を中心に回っており、被害者に対して麻痺しているのだという。「彼の大部分の利益は、ほぼ即座に暗号通貨の賭博やゲームサイトに使われていた」とノアは捜査官に語った。「これは完全に彼らのコミュニティ内での地位の問題だ」とオルセンは言う。「単なる誇示に過ぎない。」
自宅が raided された後も、ノアはソーシャルエンジニアリングや音楽盗難を続けたと、調査に参加したが匿名を希望するFBI捜査官が語る。サイバーセキュリティ研究者によると、raid 後のScattered Spiderは一時的に沈黙したように見えた。しかし同年9月、同グループはカジノ企業Caesars Entertainment Inc.に侵入し、1500万ドルの身代金を要求したとされる。関係者によると、Caesarsはコメント要請に応じなかった。
数日後、ミラージュリゾーツ(MGM Resorts)はハッカーがシステムに侵入し、従業員のOktaパスワードを盗んだことに気づいた。ミラージュはコンピュータシステムを停止した。ラスベガスのカジノホールでは、スロットマシンの支払い機能が停止した。当時の連邦取引委員会議長リナ・カーン(Lina Khan)を含む宿泊客が部屋の外に閉め出された。会社は身代金を支払わなかったが、この攻撃による損失は1億ドルと見積もられた。
この出来事は衝撃的だった。ランサムウェアは通常ロシア語圏のグループの専売特許だったが、今や米国内のハッカーがそれを使っている証拠が出てきたのだ。
サイバーセキュリティ企業CrowdStrike Holdings Inc.とMandiantは、Scattered Spiderが数カ月にわたり積極的に自社の顧客を追跡していたと述べた。これらの企業は、Scattered Spiderとカスタマーサポート従業員との通話録音を共有し、研究者たちは聞き慣れたアクセントに驚いた。暗号通貨取引所Coinbase Global Inc.の最高情報セキュリティ責任者ジェフ・ラングロファー(Jeff Lunglhofer)は2023年、彼らを「若く、口が達者な男性」と描写し、「反応が早く、むしろ機知に富んでいる」と述べた。
ミラージュ攻撃から1か月後、マイクロソフト(Microsoft Corp.)はブログで、Scattered Spiderの身代金要求がますます攻撃的になっていると説明した。同社によれば、メンバーたちは住所や家族の名前、身体的脅迫を使って人々にパスワードやコードを共有させようとしていた。同年11月、米国土安全保障省はScattered Spiderがロシア語話者の身代金グループAlphVと提携していると警告した。AlphVは身代金の分け前を得るために、簡単に使えるマルウェアを提供していた。
ノアはカジノ攻撃やランサムウェアの展開には関与していないと否定しており、これらの罪で起訴されていない。しかし、当局は彼が完全に改心していないと疑っている。検察は後に、2023年8月にノアがFBIが追跡中のウォレットから1万ドル相当のビットコインを引き出したと主張した。彼は暗号通貨に触れないことを約束していたにもかかわらずだ。彼らはノアが友人に送ったDiscordのメッセージも発見した。そのうちの一つにはこう書かれていた。「今日、連邦の弁護士と話した。もしすぐに起訴されなければ、おそらくこの裁判で勝てるって言われた。もし『核モード』(パソコンの全データ削除)を起動してなかったら、どれほどひどいことになっていただろうか想像もつかない。」
FBIによるノアのアカウント分析によると、2022年半ば時点で、彼は暗号通貨取引所やオンライン賭博サービスを通じて約7600万ドルを送金するのを助けた。ノアはこの数字は正確ではないが、「まあ、そんな感じ」と語った。
法執行機関がノアに迫る中、彼の仲間たちも別の問題に巻き込まれた。ジャーンクは2023年3月、電信詐欺の共謀罪で有罪を認めた。保釈中もハッキング活動を続けた。同年11月、彼がポートランドのアパートに戻ったとき、3人の男にトラックに引きずり込まれた。彼らは彼の手を背中に縛り、頭に袋を被せた。誘拐犯は繰り返し袋を外し、ジャーンクに暗号通貨の隠し場所を尋ね、答えなければ首に再び袋をきつく被せた。彼らは、連邦捜査官がすでに彼から400万ドル相当の暗号通貨を押収していたことを知らなかった。
「くそ、死ぬかもしれない」と、ジャーンクはカルフォルニア州ロムポックの連邦刑務所の面会室で、子供用の椅子に座りながら
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@Bloomberg
