CabinCr3wのメンバーはなぜ FBIに逮捕されたのか?

Anonymous

2012年 3月20日、CabinCr3wのメンバーの一人でテキサス州に住む 30才の Higinio O. Ochoa III (aka w0rmer) が FBIに逮捕された*1。Anonymousの逮捕は近年ではあまり珍しくもないが、逮捕に至るまでの経緯がちょっとおもしろいので紹介しよう。


CabinCr3wは Anonymousからうまれた小グループで、OWS (Occupy Wall Street) 運動*2に呼応して 2011年後半から活動を開始し、米金融機関トップの個人情報やデモ参加者にスプレーを吹きかけた警官の個人情報を特定して公開するなどしていた。しかし今回の逮捕の主な容疑は、今年 2月に彼らが行ったアラバマ州やテキサス州の法執行機関のサイトへの不正侵入である*3

逮捕にあたって FBIエージェントの Scott Jensenが 3月15日に裁判所に提出した文書が公開されているのだが、そこには逮捕に至るまでの経緯、調査によって判明した内容がかなり詳しく書かれている。OSINT (Open Source INTelligence) を駆使して w0rmerの実名などを特定しており、非常に興味深い内容だ。ここではその一部を紹介したい。


なお逮捕された w0rmerは 3月31日に Pastebinに投稿し、逮捕の状況について自ら語っている*4

Criminal Complaint (告訴状) の内容

以下は告訴状に記載されている事実の一部。(日付が前後しているが、元の資料の記載にあわせた。)

  1. 2012/02/07 Twitterアカウント @Anonw0rmer が www.wvcop.com (the West Virginia Chiefs of Police Association) のサイトに侵入したことを公表。このサイトは 2/5の夜から侵入され、約150人分の個人情報が漏洩した。この情報はネットに公開された。
  2. 2012/02/09 Twitterアカウント @Anonw0rmer が Alabama DPSのサイトに侵入したことを公表し、Pastehtmlのリンクをのせる。リンク先にはサイトから漏洩したデータベースの情報が掲載されていた。また女性の写真も掲載されており、そこには w0rmerと CabinCr3wからのメッセージが書かれていた。この写真の画像ファイルには EXIFデータが残っており、iPhone 4のカメラで撮影して Adobe Photoshopで編集されたことがわかった。また GPS情報も残っており、オーストラリアで撮影されたことがわかった。(図1)
  3. 2012/02/09 Twitterアカウント @Anonw0rmerが Mobile Alabama Policeのサイトに侵入したことを公表し、Pastehtmlと Pastebayのリンクをのせる。リンク先にはサイトから漏洩したデータベースの情報が掲載されていた。
  4. 2012/02/09 Twitterアカウント @CabinCr3wが Texas Dept. of Safetyのサイトに侵入したことを公表し、Pastehtmlのリンクをのせる。リンク先にはサイトから漏洩したデータベースの情報が掲載されていた。また Alabama DPSのサイトの時と同じ女性の写真も掲載されていた。Texas DPSのサーバのログから、侵入されたのは 2/8 16:12 CSTで、SQLインジェクション攻撃であることがわかった。また裁判所からの令状により AT&Tから提供されたログから、この時間帯に攻撃元の IPアドレスを割り当てられていた女性の名前とテキサス州の住所(A)が判明した。
  5. 2012/02/20 Twitterアカウント @Anonw0rmerが www.houstoncounty.orgのサイトに侵入したことを公表。Webサイトを改ざんし、全ての管理者アカウントを削除した。
  6. 2012/02/12 Twitterアカウント @Anonw0rmerが PCのデスクトップ画面を投稿。画像から Skypeには anonw0rmerというユーザ名でログインしており、KVIrcには @higochoaというユーザ名でログインしていることがわかった。
  7. GMANEで w0rmerというキーワードを検索したところ、2000年のあるニュースグループへの投稿が見つかった。シグネチャには "-Higino Ochoa AkA w0rmer"と書かれてあった。
  8. Texas Department of Motor Vehiclesで調べると、Higinio Ochoaの運転免許証の情報が見つかった。これにより住所(B)、氏名、生年月日が判明した。
  9. Higochoaというユーザ名を Webで検索したところ、Geocaching.comのログが見つかった。Texasの Geocachingに掲載された写真の男性は、運転免許証の Higino O Ochoa IIIの写真とよく似ていた。
  10. 2012/02/05 Twitterアカウント @higochoaが wvcom.comからの情報漏洩についてツイートしていた。この時点では @Anonw0rmerのアカウントはまだ存在していなかった。
  11. 2012/02/06 Twitterアカウント @Anonw0rmerが最初のツイートを投稿した。最初のログインはチェコ共和国のアドレスからだった。他の不正侵入で記録されたアドレスも複数の国からであり、実際の IPアドレスを隠蔽していると思われた。Twitterへの 2度目のログインは Houston, TXにある ComCastが管理している IPアドレスからだった。
  12. 2012/03/02 運転免許証に記載されていた住所(B)には Ochoaは住んでいないことが判明した。賃貸契約を解約して別の住所(C)に引越していた。ここは Texas DPS侵入時の IPアドレスから割り出された住所(A)と同じアパートだった。おそらく Ochoaが隣人の WiFiネットワークを不正に利用したものと推定された。
  13. 2012/03/03 - 03/04 張り込みの結果、上記住所(C)に Ochoaが住んでいることが確認された。
  14. Higino Ochoaの Facebookプロフィールが判明した。プロフィール情報によると Ochoaは Galveston, TXに住んでいた。また付き合っている女性の Facebookプロフィールによると、彼女はオーストラリアの高校出身だった。プロフィールに投稿されていた最初の写真の EXIFデータから、写真はオーストラリアで撮影されたものとわかった。
  15. Higino Ochoaの LinkedInプロフィールも判明した。プロフィール情報によると Ochoaは Houston, TXにある会社の管理者をしていた*5


(図1) 女性の写真の画像ファイルに記録されていたメタデータ



まとめ

FBIはこれらの情報から Ochoaが一連の不正侵入の実行犯であると判断して逮捕に踏み切ったようだ。通信会社のログや免許証の情報などは法執行機関でなければ入手できないが、その他の多くの情報はインターネットで誰でも入手できる。実際、今回の記事を書くにあたって告訴状に記載されていた内容は自分でも確認できた。私達は好むと好まざるとにかかわらず、個人情報ダダ漏れの時代を生きている。改めてそれを感じさせる事例ではないだろうか… *6

*1:逮捕の翌日にすぐに保釈されたようだ。

*2:OWSは昨年よりやや規模が小さくなったものの、[http://jp.wsj.com/US/Economy/node_423749:title=現在もまだ続いている]。

*3:CabinCr3wは #OpPiggyBank 作戦と称して、これらの Webサイトを改ざんし、内部情報を漏洩した。また他にも多数のサイトに侵入している。

*4:ただし保釈中のコンピュータの使用は許可されていないため、彼の弁護士によると Ochoaが書いた文章を別の誰かが投稿したものらしい。

*5:Galvestonは Houstonの郊外にある。

*6:日本でも 2chなどで個人を特定する祭りが度々起こるが、やっていることは今回の事例とほとんど同じと言えるだろう。