FBIはいかにしてTwitterハッキングの容疑者を突き止めたのか
米捜査当局は米国時間7月31日、同月に起きたTwitterアカウントのハッキングに関して3人を起訴した。これを受け、米ZDNetは米司法省が公開した起訴資料を基に、今回のハッキングの時系列と、捜査当局が容疑者として3人のハッカーを突き止めた経緯を解明するに至った。
提供:Volodymyr Hryshchenko, ZDNet, Twitter本記事で用いたデータは、米司法省が8月1日に発行した以下3名に対する起訴状に基づいている。
起訴状によると、ハッキングのそもそもの発端は5月3日、Clark容疑者がTwitterのネットワークの一部にアクセスしたことだった。Clark容疑者は、タンパ在住だが事件当時はカリフォルニア州に住んでいた。
提供:ZDNetこの当時の時系列は曖昧で、5月3日から、実際のハッキングがあった7月15日までの間に何があったかは明確になっていない。だが、Clark容疑者は、最初の侵入地点から、後にアカウント乗っ取りに使用するTwitter管理ツールに、すぐには移動できなかったものとみられている。
一方、ハッキング数日後のThe New York Timesの報道によれば、Clark容疑者は当初、Twitter自体ではなく、Twitter社内で使われていたSlackのチャンネルのひとつにアクセスしたらしいとされている。
この報道では、ハッキングに関与したとされる情報提供者らの話を基に、Clark容疑者はTwitterのSlackチャンネルに投稿されていた同社の認証情報を発見したと伝えている。
これによりClark容疑者は、Twitterアカウントをあらゆる面から管理できる従業員向けツールにアクセスできたとされる。ハッキングのあった当日には、同ツールの画像がオンラインに流出していた。
提供:Redditしかし、このツールの認証情報だけでは、Twitterのバックエンドにアクセスすることはできなかった。今回のハッキングに関する調査を詳しく記したTwitterのブログ記事にもあるとおり、管理バックエンドのアカウントは2要素認証(2FA)で保護されていたからだ。
Clark容疑者がアクセスに成功するまでにどのくらいの時間を要したかは不明だ。だが、同じブログ記事によると、Clark容疑者は「電話によるスピアフィッシング攻撃」を利用して何人かの従業員を欺き、そのアカウントへのアクセス権を確保したうえで「(Twitterの)2要素認証を突破」したのだという。
Twitterによれば、これが起きたのが7月15日、つまりハッキング発生の当日だった。
チャットアプリ「Discord」上で「Kirk#5270」の名を使用していたClark容疑者は、発見されるまで悠長に構えていたわけではない。米連邦捜査局(FBI)が入手したDiscordのチャットログによると、Clark容疑者は入手したアクセス権を資金化する手段を求めてほかの2人のユーザーに連絡をとったという。
起訴状にも掲載されているチャットログを見ると、Clark容疑者(Discordでのユーザー名は「Kirk#5270」)はDiscordのOGUsersチャンネルで2人のユーザーにアプローチしている。OGUsersは、ソーシャルメディアのアカウントを売買しているハッカー専用のフォーラムだ。