Criminal Complaint (告訴状) の内容

以下は告訴状に記載されている事実の一部。(日付が前後しているが、元の資料の記載にあわせた。)

1. 2012/02/07 Twitterアカウント @Anonw0rmer が www.wvcop.com (the West Virginia Chiefs of Police Association) のサイトに侵入したことを公表。このサイトは 2/5の夜から侵入され、約150人分の個人情報が漏洩した。この情報はネットに公開された。
2. 2012/02/09 Twitterアカウント @Anonw0rmer が Alabama DPSのサイトに侵入したことを公表し、Pastehtmlのリンクをのせる。リンク先にはサイトから漏洩したデータベースの情報が掲載されていた。また女性の写真も掲載されており、そこには w0rmerと CabinCr3wからのメッセージが書かれていた。この写真の画像ファイルには EXIFデータが残っており、iPhone 4のカメラで撮影して Adobe Photoshopで編集されたことがわかった。また GPS情報も残っており、オーストラリアで撮影されたことがわかった。(図1)
3. 2012/02/09 Twitterアカウント @Anonw0rmerが Mobile Alabama Policeのサイトに侵入したことを公表し、Pastehtmlと Pastebayのリンクをのせる。リンク先にはサイトから漏洩したデータベースの情報が掲載されていた。
4. 2012/02/09 Twitterアカウント @CabinCr3wが Texas Dept. of Safetyのサイトに侵入したことを公表し、Pastehtmlのリンクをのせる。リンク先にはサイトから漏洩したデータベースの情報が掲載されていた。また Alabama DPSのサイトの時と同じ女性の写真も掲載されていた。Texas DPSのサーバのログから、侵入されたのは 2/8 16:12 CSTで、SQLインジェクション攻撃であることがわかった。また裁判所からの令状により AT&Tから提供されたログから、この時間帯に攻撃元の IPアドレスを割り当てられていた女性の名前とテキサス州の住所(A)が判明した。
5. 2012/02/20 Twitterアカウント @Anonw0rmerが www.houstoncounty.orgのサイトに侵入したことを公表。Webサイトを改ざんし、全ての管理者アカウントを削除した。
6. 2012/02/12 Twitterアカウント @Anonw0rmerが PCのデスクトップ画面を投稿。画像から Skypeには anonw0rmerというユーザ名でログインしており、KVIrcには @higochoaというユーザ名でログインしていることがわかった。
7. GMANEで w0rmerというキーワードを検索したところ、2000年のあるニュースグループへの投稿が見つかった。シグネチャには "-Higino Ochoa AkA w0rmer"と書かれてあった。
8. Texas Department of Motor Vehiclesで調べると、Higinio Ochoaの運転免許証の情報が見つかった。これにより住所(B)、氏名、生年月日が判明した。
9. Higochoaというユーザ名を Webで検索したところ、Geocaching.comのログが見つかった。Texasの Geocachingに掲載された写真の男性は、運転免許証の Higino O Ochoa IIIの写真とよく似ていた。
10. 2012/02/05 Twitterアカウント @higochoaが wvcom.comからの情報漏洩についてツイートしていた。この時点では @Anonw0rmerのアカウントはまだ存在していなかった。
11. 2012/02/06 Twitterアカウント @Anonw0rmerが最初のツイートを投稿した。最初のログインはチェコ共和国のアドレスからだった。他の不正侵入で記録されたアドレスも複数の国からであり、実際の IPアドレスを隠蔽していると思われた。Twitterへの 2度目のログインは Houston, TXにある ComCastが管理している IPアドレスからだった。
12. 2012/03/02 運転免許証に記載されていた住所(B)には Ochoaは住んでいないことが判明した。賃貸契約を解約して別の住所(C)に引越していた。ここは Texas DPS侵入時の IPアドレスから割り出された住所(A)と同じアパートだった。おそらく Ochoaが隣人の WiFiネットワークを不正に利用したものと推定された。
13. 2012/03/03 - 03/04 張り込みの結果、上記住所(C)に Ochoaが住んでいることが確認された。
14. Higino Ochoaの Facebookプロフィールが判明した。プロフィール情報によると Ochoaは Galveston, TXに住んでいた。また付き合っている女性の Facebookプロフィールによると、彼女はオーストラリアの高校出身だった。プロフィールに投稿されていた最初の写真の EXIFデータから、写真はオーストラリアで撮影されたものとわかった。
15. Higino Ochoaの LinkedInプロフィールも判明した。プロフィール情報によると Ochoaは Houston, TXにある会社の管理者をしていた*5。

(図1) 女性の写真の画像ファイルに記録されていたメタデータ

まとめ

FBIはこれらの情報から Ochoaが一連の不正侵入の実行犯であると判断して逮捕に踏み切ったようだ。通信会社のログや免許証の情報などは法執行機関でなければ入手できないが、その他の多くの情報はインターネットで誰でも入手できる。実際、今回の記事を書くにあたって告訴状に記載されていた内容は自分でも確認できた。私達は好むと好まざるとにかかわらず、個人情報ダダ漏れの時代を生きている。改めてそれを感じさせる事例ではないだろうか… *6

1/20 (金)

DDoS攻撃と並行して、一部で Webサイトを改ざんする動きもあったようです。Utah Chiefs of Police Associationのサイトが改ざんされ、Megaupload閉鎖に反対する Anonymousの声明が掲載されました*1。またメールアドレスやパスワード(ハッシュ)などの個人情報も漏洩しました。

BREAKING: Utah Chiefs Of Police Association Hacked | #OpMegaupload | utahchiefs.org bit.ly/zIcbjR (via @ItsKahuna)

— Anonymous (@YourAnonNews) January 19, 2012

• Anonymous hacks Utah, federal sites in protest | ksl.com

1/21 (土)

直接の関連はよくわかりませんが、Megaupload閉鎖への抗議として、多数のブラジル政府系サイトに対する DDoS攻撃が実施されています。投稿されたリストによると、その数は100以上になります。@Havittajaと @theevilc0deが攻撃を主導したようです。

MEGA TANGO DOWN pastebin.com/cujqqtcn@Havittaja @theevilc0de RT @PlanoAnonBR @AnonymousIRC @anonymouSabu @AntiSecBrTeam @LulzSecBrazil

— Havittaja (@Havittaja) January 21, 2012

@anonops pastebin.com/QKV2HeeXMega Tango Down!

— The evilc0de (@theevilc0de) January 21, 2012

• Brazil Under Anonymous Attack - Tangara da Serra city site defaced ! | The Hacker News (THN)

1/22 (日)

今度は複数のポーランド政府系サイトが DDoS攻撃に遭いました。これはポーランド政府が 1/19に ACTA(Anti-Counterfeiting Tarde Agreement, 模倣品・海賊版拡散防止条約)への署名を発表したことが原因のようです。SOPA/PIPAとの関連でターゲットになったのでしょう*2。

The Polish government mega tango down: tinyurl.com/6vm8wzv

— Anonymous (@YourAnonNews) January 22, 2012

• Polish Government under DDoS, Anonymous ACTA up again. » CounterMeasures
• http://www.warsawvoice.pl/WVpage/pages/article.php/19562/news

1/23 (月)

CBS.comのサイトが改ざん…というかファイル 1つを残して他は全て削除されてしまいました*3。CBSは SOPA支持企業の一覧に名を連ねているため、Anonymousに狙われたようです。

Yes... CBS is currently just one file. RT @Cold5tMu5ic: @YourAnonNews Just one little file?

— Anonymous (@YourAnonNews) January 22, 2012

• Anonymous Just Deleted CBS.com and Took Down Universal

主要な動きとしてはこんな感じです。なお、これらと並行して他に複数のサイトへの DDoS攻撃も断続的に行われています。また 1/23には新たに別の作戦 #OpStopSOPAも立ち上がっており、引き続き警戒が必要な状況です。

Megaupload閉鎖の衝撃

FBIによるプレスリリース
Justice Department Charges Leaders of Megaupload with Widespread Online Copyright Infringement

Indictment(起訴状)の全文
Mega Indictment

日本時間の 1月20日未明、Megauploadのサイト閉鎖、関係者逮捕という衝撃のニュースが流れました。FBIの発表によると、Megauploadには1億5千万人以上の登録ユーザーがおり、サイトへのビジター数は1日約5,000万人、インターネット上の全トラフィックのうち、およそ 4%を占めています。そして逮捕の主な理由は著作権侵害。Megauploadには映画などの大量の違法コンテンツがアップロードされており、これらによって著作権者に約5億ドルの被害を与え、自らは約1億7,500万ドル(有料会員 1億5,000万ドル、広告料 2,500万ドル)の利益を得ていたようです。

米国を含む 9カ国で捜査令状が出され、5,000万ドル近い資産と関連する18のドメインが差し押さえられています*2。また起訴状には関係者 7人の名前が含まれていますが、そのうち創業者を含む 4人がニュージーランドのオークランドで逮捕されています。犯罪の規模も巨額で、かなり大がかりな捜査が行われたことがわかります。

(参考記事)

• Geekなぺーじ:ファイル共有サイトMegaupload閉鎖 - アメリカで起訴、ニュージーランドで逮捕
• 「Megaupload」閉鎖＆FBIが運営者を逮捕、驚愕の運営実態と収益額が判明 - GIGAZINE
• 米史上最大級の著作権侵害摘発！　FBIがMegaupload閉鎖、運営者8人を逮捕（動画あり） : ギズモード・ジャパン

Anonymousによる報復攻撃

Megaupload閉鎖は絶妙な(最悪とも言える)タイミングで行われました。ちょうど前日に Google, Mozilla, Wikipedia, Redditなど多くのサイトで SOPA/PIPAの法案へのネット上での抗議活動が行われたこともあり、注目度も高かったと言えるでしょう。(ただしこの逮捕自体はかなり前から計画されていたもののようで、このタイミングが偶然なのか狙ったものなのかはわかりません。)

しかし Anonymousがこれを見逃すはずはありません。SOPA/PIPAに反対していることはもちろん、TPB(The Pirate Bay)へのブロックなどの諸外国の動きにも反対するなど、彼等はこうしたトピックには敏感に反応します。しかも今回はサイト閉鎖に関係者逮捕というこれまで以上に踏み込んだ内容、Anonymousを刺激しないはずがありません。彼らは Megaupload閉鎖のニュースが流れるやすぐさま反応し、1時間もしないうちにFBIなどへの報復作戦 Operation Megaupload (#OpMegaupload)を立ち上げました。

Anonymousによる声明 "Anonymous - Don't Mess With Us"

攻撃実施後の声明文 "#OpMegaupload"
http://pastebin.com/WEydcBVV

上記によると、攻撃を受けたターゲットは ホワイトハウス、司法省、FBIなどの政府機関、RIAA、MPAAなどの著作権保護団体、Universal Musicや Warner Musicなどの音楽関連企業等、かなり広範囲にわたっています。

• justice.gov
• universalmusic.com
• riaa.org
• mpaa.org
• copyright.gov
• hadopi.fr
• wmg.com
• usdoj.gov
• bmi.com
• fbi.gov
• Anti-piracy.be/nl/
• ChrisDodd.com
• Vivendi.fr
• Whitehouse.gov

日本時間の午前10時頃、ちょうど FBIへの攻撃が実施されていた時に Anonymousの IRCを私も観察していましたが、#OpMegauploadというチャネルには 1,000人を越える参加者がおり、最近ではあまりなかった異様な盛り上がりをみせていました(いわゆる"祭り"の状態)。また実数は定かではありませんが、Anonymous関連のツイートによると DDoS攻撃には 5,000以上の参加者がいたようです。

また今回の攻撃の特徴として、LOIC/HOICなどのツールによる従来からの攻撃に加えて、意図しない参加者による攻撃も多かったのではないかと推測しています。というのも、攻撃が行われていた間、いくつかの PastehtmlなどのURLリンクを含むツイートが多数観測されましたが、これらは Javascript版LOICとでも言うべき、ブラウザから DoS攻撃を行うためのページへのリンクでした*3。しかもあらかじめ攻撃ターゲットが設定されており、そのリンクをユーザーがクリックすると自動的に攻撃を開始するようになっていたのです。このため自分でも気がつかないうちに攻撃に加担してしまったユーザーが多数いたと思われます。Anonymousお得意の Trollingとも言えますが、これまではあまりなかったもので注目すべき動きです。

(参考記事)

• The Evil New Tactic Behind Anonymous' Massive Megaupload Revenge Attack
• Click on an Anonymous link, and you could be DDoS’ing the US government | Naked Security
• Anonymous Tricks Bystanders Into Attacking Justice Department | Threat Level | Wired.com

SOPA/PIPAとの関連

先ほども述べましたが、今回の FBIの動きと SOPA/PIPA法案審議との関連性はよくわかりません。しかしこれほどの大規模な攻撃に発展した理由として、SOPA/PIPAへの世間の注目度の高さが関係しているだろうと思います。

なお、1/18-1/19にかけて行われた大規模な抗議活動などの世論を受け、米議会上院は1/24に予定していた PIPAの議決延期を発表しました。その後、SOPA起草者の一人で下院司法委員会議長である Lamar Smith議員も声明を発表、SOPAの審議を延期するようです。これらの判断に今回の Anonymouosによる攻撃がどの程度影響を与えたのかわかりませんが、Anonymousは戦いに勝利したと考えているかもしれません。

ただ Anonymousはこれで攻撃を止めたわけではありません。この記事を書いている 1/21時点でも #OpMegauploadのIRCチャネルには多数の参加者がおり、音楽関連企業などへの DDoS攻撃が継続して行われています。SOPA/PIPA法案も審議延期(あるいはこのまま廃案?)にはなりましたが、海賊行為への対処が必要という姿勢に変化はなく、今後新たな規制強化の動きが出る可能性があります。また現状でも今回の Megaupload事件のように米国外も含めた対応が可能であることが示されたわけであり、類似サイトに対して同様の動きが続くことも考えられます。

(参考記事)

• Internet wins: SOPA and PIPA both shelved
• SOPA、一旦凍結の見通し（でもまだまだ諦めんよ） - P2Pとかその辺のお話

まとめ

以上、Megaupload閉鎖とその報復として行われた Anonymousによる DDoS攻撃についてまとめました。SOPA/PIPAの状況も含め、まだまだ今後の動きから目が離せないと言えそうです。

(参考)

今回の事件に関する主な報道(リンクのみ)

http://rt.com/usa/news/megaupload-shut-million-authorities-231/
http://online.wsj.com/article_email/SB10001424052970204616504577171060611948408-lMyQjAxMTAyMDEwOTExNDkyWj.html
http://www.reuters.com/article/2012/01/19/us-usa-crime-piracy-idUSTRE80I24220120119
http://abcnews.go.com/Technology/wireStory/apnewsbreak-feds-shut-file-sharing-website-15396093#.Txjtt4fu740
http://www.dailytelegraph.com.au/news/breaking-news/megaupload-accused-front-court-in-nz/story-e6freuyi-1226249605344
http://blogs.reuters.com/anthony-derosa/2012/01/19/anonymous-takes-down-several-websites-over-shutdown-of-megaupload-com/
http://www.infosecisland.com/blogview/19543-DDoS-Attacks-Against-Government-and-Entertainment-Websites-Escalate.html
http://www.techradar.com/news/internet/anonymous-retaliates-after-megaupload-take-down-1056199
http://anonops.blogspot.com/2012/01/internet-strikes-back-opmegaupload.html
http://venturebeat.com/2012/01/19/anonymous-hacks-doj-universal-megaupload/
http://rt.com/usa/news/anonymous-doj-universal-sopa-235/
http://news.cnet.com/8301-1009_3-57362398-83/what-hath-opmegaupload-wrought/
http://www.foxnews.com/scitech/2012/01/19/anonymous-hackers-claim-to-take-down-justice-department-website-in-retaliation/
http://latimesblogs.latimes.com/entertainmentnewsbuzz/2012/01/file-sharing-megaupload-shut-down-for-piracy-by-feds.html
http://arstechnica.com/tech-policy/news/2012/01/anonymous-strikes-back-against-justice-universal-sopa-supportersattack-on-whitehousegov-underway.ars
http://gizmodo.com/5877679/anonymous-kills-department-of-justice-site-in-megaupload-revenge-strike
http://technolog.msnbc.msn.com/_news/2012/01/19/10193724-anonymous-says-it-takes-down-fbi-doj-entertainment-sites
http://thenextweb.com/insider/2012/01/20/anonymous-on-operation-megaload-a-new-era-has-come/
http://www.thetechherald.com/articles/Anonymous-forces-DOJ-and-several-others-to-protest-SOPA-PIPA/16056/
http://www.forbes.com/sites/andygreenberg/2012/01/19/anonymous-hackers-claims-attack-on-doj-universal-music-and-riaa-after-megaupload-takedown/
http://www.bbc.co.uk/news/technology-16646023
http://www.washingtonpost.com/business/economy/department-of-justice-site-hacked-after-megaupload-shutdown-anonymous-claims-credit/2012/01/20/gIQAl5MNEQ_story.html?tid=pm_business_pop
http://japan.cnet.com/news/business/35013282/
http://www.itmedia.co.jp/enterprise/articles/1201/20/news049.html