サイバー攻撃者がマヌケなFBIに伝えたかった1つの真実:638th Lap
あるサイバー攻撃者はFBIの公式メールアカウントを乗っ取り、FBIをかたるスパムメールを大量にばらまいた。しかし、人をだましたり情報を盗み出したりすることが目的ではなかった。その裏には、あるメッセージが込められていた。
サイバー犯罪対策の専門部隊を持つFBI(連邦捜査局)は、常にインターネットに目を光らせ、サイバー攻撃者たちの行動をけん制している。国をまたいだサイバー攻撃にも対処するため、世界中のセキュリティ対策企業や諸外国の警察機関、ICPO(国際刑事警察機構)などとの連携にも力を入れる。
盤石な体制でサイバー犯罪に取り組むFBIが、サイバー犯罪の被害者になったという信じ難い事態が起こった。しかし、情報を盗み出すことが目的ではなかった。
裏に隠された本当の目的とは?
それは2021年11月13日のこと。FBIの公式メールアカウントが乗っ取り被害に遭い、10万件超のスパムメールが送信された。
スパム情報を収集する非営利組織Spamhausによる報告がきっかけで、この事実が発覚した。スパムメールが送信された日に「FBIから“scary(恐ろしい)”メールが送られている。メールの内容は偽物だが、ヘッダは本物だ。つまり実際にFBIから送信されたものだ」と同組織の公式アカウントからツイートされ、大きな騒ぎとなった。メールには送信者は「eims@ic.fbi.gov」で、ヘッダも本物だったため、セキュリティツールのスパムフィルターをすり抜け、多くの人にメールが送信される事態となった。
スパムメールの内容は、「セキュリティ対策企業Shadowbyteの創業者であるヴィニー・トロイア氏がFBIをサイバー攻撃している」というものだ。メールの内容は分かりにくく、スペルミスも多く含まれていた。メールを受け取った人は困惑したに違いない。
状況を把握したFBIは公式メールが乗っ取られたことを事件として認識し、このことを公表した。その時点では「原因は調査中」としていたが、翌日には、諜報機関や刑事司法機関との間で利用するポータルサービス「Law Enforcement Enterprise Portal(LEEP)」の脆弱(ぜいじゃく)性を悪用されたものだと発表した。
FBIの発表とほぼ同時期に、セキュリティジャーナリストであるブライアン・クレブス氏も「eims@ic.fbi.gov」からのメールを受け取った。送り主はメールで「Hi its pompompurin」つまり「自分はpompompurinだ」と名乗り、FBIのスパムメールを送った張本人であると自白し、スパムメールを送った理由を明かした。
クレブス氏によれば、pompompurinはLEEPに存在する脆弱性を指摘する目的でスパム攻撃を実行したという。LEEPは特定の用途で使われるものの、申請すれば誰でもアカウントを発行できる(本稿公開時点では申請不可)。その過程でワンタイムパスワードが含まれたメールが送られてくるのだが、それを改変することで「eims@ic.fbi.gov」から自由にメールを送れた。簡単なスクリプトを書き、大量のスパムメールを送ることに成功したという。
pompompurinはクレブス氏に「この脆弱性を利用すれば企業をかたって重要なデータを盗むことも可能なはずだ」と語った。それを実行しなかったということは、あくまでFBIに対する警告目的で行った乗っ取り行為だったのだろう。
メールの内容についてはpompompurinは語らなかったようだが、クレブス氏によれば、ハッキング集団のRaidForumsが長年にわたってShadowbyteと対立していたことから、どうやらpompompurinはRaidForumsの一員であると推測される。
FBIによればこの件で漏れ出した個人情報などの重要なデータはないようで、脆弱性もすでに修正されたという。また、あくまでLEEPのシステムを悪用されただけで、FBIのメールサーバがハッキングされたわけでもないと説明する。
サイバー犯罪に力を込めて取り組むFBIが、これほど見事にハッキングの被害者になるのは情けないものがある。世間に対しても面目が立たないというものだろう。何とかその威厳を取り戻していただきたいものだ。
上司X: FBIが、自分のところのシステムを悪用されて大量のスパムメールを送った、という話だよ。
ブラックピット: いやあ、まさかのFBIが。やられましたか。
上司X: やられたねえ。しかもpomupomupurinに。
ブラックピット: あー、そこ気になったんですよね。「ポムポムプリン」っていうのは、ほら、あの有名なキャラですよね。
上司X: だな。pomupomupurinがどこの国の人かは知らないが、ローマ字でpomupomupurinと書いているぐらいだから、キャラの存在は知っていたんだろうな。
ブラックピット: それにしてもあれって犬ですか? それともプリンですか?
上司X: そういうキャラクターなんだから深く考えちゃだめなんだよ。キティちゃんだって「猫じゃないです」って公式見解がだされているくらいなんだから……って話が逸れすぎじゃないか?
ブラックピット: まあFBIにとっては今回の件はまさに「恥」そのものでしょうねえ。まさか、自分のところのシステムが悪用されてスパムメールの送信源になるとは思ってもいなかったでしょうに。犯人捜しに躍起になるかもしれませんね。
上司X: かもな。面目躍如のためなら何でもしそうだ。それにしても、FBIですらこのように足をすくわれることがあるんだ。一般企業や個人はさらに油断ならないってものだよ。サイバー攻撃を仕掛けるハッカーたちの猛攻は今後も続くだろうし、FBIには今後も頑張ってほしいな。
ブラックピット(本名非公開)
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
上司X(本名なぜか非公開)
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.