福森です。2014年4月から2022年11月までの約8年半、シンガポールにあるインターポールのサイバー犯罪部門に出向してサイバー犯罪の捜査支援に携わっていました。NDAに抵触しない範囲で、私の活動のこぼれ話的なものを紹介していけたらと思います。
https://westchester.news12.com/fbi-homeland-security-local-police-seen-investigating-peekskill-homeよりスクリーンショット
先日、サイバー犯罪フォーラムとして悪名高いBreachForumsの管理人pompompurinがFBIによって、ニューヨーク州ピークスキルで逮捕されました。
BreachForumsの前身のような存在であるRaidForums時代から彼の活動は目を付けられていたうえに、FBIへ挑発行為(犯罪です)を行うという彼の性格も相まって、世界中のセキュリティ研究者や捜査機関がpompompurinの正体を追っていました。
私は、インターポールに出向していた経緯もあり、インターポールやFBIに捜査協力していました。各方面の研究者がそれぞれユニークな視点で調査を行っていたわけですが、数年に渡る私の調査の範囲では、彼がネット上のサイトにアクセスする際には世界中に散らばった720ものIPアドレスを使っていることがわかりました。
pompompurinが使用していたIPアドレスの分布
このIPアドレス群をそのまま提供したところで、「おう、ありがとな」と言われるだけで、実際には何も進展しないのは我々セキュリティ研究者の間では周知の事実です。また、世界中から追われているpompompurinですから、生のIPアドレスでアクセスするわけもなく、匿名化のためにTorやらVPNやらProxyやらを駆使していることは容易に想像できます。
そこで、720のIPアドレスに対して、匿名化用かどうかを調査したところ、647のIPアドレスはTorであったり、VPNであったり、Proxyであることがわかりました。残りは73。これで、各国の捜査官がやる気に満ち溢れて捜査に取り組んでくれる姿を想像できるかというと、残念ながらまだちょっと多いですね。
気を取り直して、73のIPアドレスを地道に調べ直したところ、Residential Proxyを使っている可能性が高いことがわかりました。きな臭い噂の多いResidential Proxyですが、ここでは匿名化のために使われていたようです。
Residential Proxyを取り除くと23。実に、697/720≒97%が匿名化用アドレスです。 23の中にはまだまだResidential Proxyが含まれていそうな気がしましたが、私が持っている情報ではここが限界だと判断し、720のうち23のIPアドレスを特に重点的に捜査してくれ、と言付けて渡すことにしました。「その中でも米国のは10個だけだから🙏🙏🙏」とも付け加えました。
97%は匿名化用でしたが、残り3%は何なのか。もしかしたら、操作ミスやアプリケーションエラー、急いでいて匿名化を忘れた・・等があるかもしれません。さらに、法執行機関であれば、正当な司法手続きを踏みさせすれば、ISPから正式に情報提供を受けることができるので、捜査はさらに進展するはずです。FBI自身が彼の被害者ですし。
pompompurinが使用していたIPアドレスの国(Refined後)
・・・それから時が経つこと、7ヶ月。
一般のニュースで彼の逮捕を知ることになります。FBIは厳しいNDAの元で動いているので、私のような民間人はおろか、他の法執行機関に対しても連絡を入れることはまずありません。(褒め言葉ではありませ ん。)
さて、答え合わせ(というか、後出しジャンケン)をしてみたところ、ニューヨーク州ピークスキルのIPアドレスも私が提供したリストに含まれていたようです。
Peekskillに颯爽とそびえ立つGoogleマップのピン
ただし、前述のようにFBIが答えを教えることはまずありませんので、これが合っていたのか、大ハズレだったのかを知ることは永久にありません。真相は闇の中。DARK MATTER.