Snowflakeハッキングに関与のハッカーKiberphant0m、正体は米兵である可能性が浮上:インテリジェンス調査が示す
KrebsOnSecurity – November 26, 2024
多数のSnowflakeアカウントからのデータ窃取・恐喝キャンペーンに関与したとされる第三のハッカー「Kiberphant0m」の正体が、米軍の兵士である可能性が浮上しているという。KrebsOnSecurityがサイバーインテリジェンスツールFlashpointなどを使ってKiberphant0mを調査した結果を明らかにした。なおSnowflakeキャンペーンの容疑者といえばすでに2名が逮捕されているが、Kiberphant0mについては今も自由の身で、公然と被害組織の恐喝を続けている。
Snowflakeアカウントを狙った大規模キャンペーン
まず今年前半に大きくセキュリティニュースを騒がせたSnowflakeキャンペーンについて振り返ると、その概要は以下のようになる。
- (2023年末)クラウドストレージ企業Snowflakeを利用する多数の企業が、顧客の機微なデータを大量にSnowflakeアカウントへアップロードしていること、またこれらのアカウントの多くが多要素認証で保護されていないことを、ハッカーらが発見。
- (2023年末〜2024年上旬)ハッカーらはダークネットマーケットで購入するなどしてSnowflakeアカウントの盗難認証情報を入手し、この情報を使ってアカウントに侵入。アップされていたデータを盗み出す。
- (2024年〜)ハッカーらは盗み出したデータを使い、被害企業を恐喝したり、データを販売したりし始める。これには、AT&Tやニーマン・マーカス、サンタンデール銀行、チケットマスター(ライブネーション)などが含まれるとされる。
関連記事:
・サンタンデール銀行とチケットマスターの大規模侵害、Snowflakeアカウントのハッキングが原因となった可能性
容疑者2名の逮捕と、SnowflakeキャンペーンにおけるKiberphant0mの役割
このデータ窃取キャンペーンに関わったとされるハッカーは、すでに2名が逮捕済み。1人はトルコ在住の米国人John Erin Binnsで、2024年5月に逮捕されたと報じられている。そして10月末には、「Judische」または「Waifu」と名乗っていたとされるAlexander Moucka被告がカナダで逮捕された。
Kiberphant0mは、Moucka被告の指示を受け、身代金の支払いを拒んだSnowflake顧客のデータを販売する役割を担っていたとされる。同被告逮捕のニュースが出た直後には、ハッカーフォーラムBreachForumsにおいてKiberphant0mが怒りを露わに。「#FREEWAIFU」というハッシュタグとともに、AT&Tから窃取されたドナルド・トランプ氏およびカマラ・ハリス氏の通話ログとされるものを投稿したほか、米国家安全保障局(NSA)の「データスキーマ」とされるものも投稿したという。
Kiberphant0m=韓国駐在経験のある米兵?
未だ法執行機関の手を逃れ続けているKiberphant0mだが、KrebsOnSecurityがサイバーインテリジェンスプラットフォーム「Flashpoint」(※)などを使って調査した結果、その正体が今現在または過去に韓国へ派遣されていた米兵である可能性が浮上したという。この予測は、Kiberphant0mと関連付けることが可能なほかのエイリアスやID、ハッキングフォーラムやTelegramチャンネルなどにおける過去の発言内容や投稿内容などをもとに導き出されている。
ID/エイリアスの関連付け
まずKrebsOnSecurityは、Kiberphant0mが用いるその他のIDやTelegramハンドル、エイリアスとして、以下を見つけ出した。
- @cyb3rph4nt0m(Telegramハンドル)
【根拠】Kiberphant0m自身がBreachForumsでの初回投稿において、自分には@cyb3rph4nt0mというTelegramハンドルから連絡を取ることが可能だ、と発言。
- Buttholio(Telegram、Discordのユーザー名)
【根拠】あるTelegramチャンネルにおいて、Buttholioと名乗るユーザーが「自分はKiberphant0mである」と主張。
- @reverseshell(Telegramハンドル)
【根拠】@kiberphant0m(Telegramハンドル)に割り当てられたTelegram ID番号は6953392511だが、この番号をFlashpointで調べたところ、Kiberphant0mがDDoS攻撃関連のTelegramチャンネル「Dstat」での投稿を行っていたことが判明。Dstatのメンバーに対し、自らの別のTelegramユーザー名は「@reverseshell」(ID番号は5408575119)であると伝えていたのに加え、別のTelegramチャットでも同様の投稿をしていた。
- Proman557(Telegram、ハッカーフォーラムExploitのユーザー名)
【根拠】@reverseshellのID番号「5408575119」をFlashpointで調査したところ、ReverseshellのほかにもProman557など複数のエイリアスがこのIDによって使われていたことが判明。
- Proman554(ハッカーフォーラムHackforumsのユーザー名)
【根拠】サイバーインテリジェンスプラットフォームIntel 471を使ってProman557というユーザー名を調べたところ、2022年9月に「Proman554」という名前でHackforumsへ登録したハッカーがいたことが判明。Proman554はほかのユーザーへのメッセージの中で、自分へはTelegramアカウント「Buttholio」から連絡可能だと伝えていた。
- Vars_Secc(Exploit、XSS、Ramp 2.0、Ramp、Telegramでのエイリアス)
【根拠】Proman557はロシア語ハッカーフォーラムExploitでほかのユーザーに対する詐欺行為を働いたとして同フォーラムから凍結されているが、その際Exploitのモデレーターは、Proman557が過去に使っていたその他のエイリアスとしてVars_Seccなどを挙げてフォーラムメンバーに注意を呼びかけていた。
- Boxfan(BreachForumsのユーザー名)
【根拠】Vars_SeccはTelegramにおいて、BreachForumsのメンバー「Boxfan」が自らのものである旨を主張していた。またIntel 471での調査により、Boxfanの初期のフォーラム投稿の署名欄にTelegramアカウント「Vars_Secc」の記載があったことがわかっている。
各エイリアスによる韓国や米軍に関する発言
KrebsOnSecurityは、上記のエイリアスを使う人物によって発せられた以下のような発言や投稿などから、Kiberphant0mの正体は韓国に駐在経験のある米軍兵かもしれない、との評価を導き出したという。
- Buttholioは2023年9月17日、ビデオゲーム関連のDiscordチャットルームにおいて「韓国に来いよ」などと発言。また別のメッセージでは、自分は米兵であり、ゲームを購入した場所は米国内だったが今は「ローテーション」のためにアジアからプレイしている旨を発言。
- @reverseshellは2022年11月15日、あるTelegramチャンネルにおいて、自分は米陸軍の兵士であると発言。また、軍服姿の人物の太ももから下の部分が写った写真も投稿。
- 2022年9月、あるメンバーが、@reverseshellのインターネットアドレスに対してDDoS攻撃を仕掛けると宣言。この攻撃が実際に行われた後、@reverseshellは「お前らはたった今、陸軍基地が契約しているWi-Fiを攻撃したんだぞ」などと発言。
- 2022年10月、@reverseshellはあるチャットルームにおいて、自らが使っているサーバーの速度を自慢。ほかのメンバーからの質問に対し、韓国の通信事業者経由でインターネットにアクセスしていると返答。
Kiberphant0m自身は米兵であることを否定
KrebsOnSecurityがTelegram経由でKiberphant0mに接触したところ、Kiberphant0mは自らの過去のエイリアスについては認めたものの、米陸軍に属していることや、韓国での居住経験があることについては否定したという。各エイリアスが発した韓国や米軍がらみのメッセージについては、「架空のペルソナを作るため」に練り上げられた長期的な策略だったと語っている。
サイバーインテリジェンスによる人物調査の可能性
Kiberphant0mが本当に韓国に住んでいたのかどうか、また米兵なのかどうかは現時点でわかっていない。ただ、KrebsOnSecurityが共有した調査プロセスおよび調査結果により、今回のようなサイバーインテリジェンスプラットフォームを用いたIDやユーザー名、エイリアスの相互関連付け、ハッカーフォーラムやTelegramなどでの発言内容の分析・照らし合わせといった作業から、人物の追跡や調査を行うことが可能であるという事実が改めて示されている。
※Flashpoint(ダークウェブ監視ツール)について
今回のニュースにも登場したFlashpointは、ダークウェブ等の不法コミュニティを検索・モニタリング・分析することのできるツールです。漏洩認証情報、データベース、ハッキングツール、エクスプロイトの議論や取引のモニタリングを通じた、攻撃の未然防止や被害の抑止に役立てられます。データソースには、ハッキングフォーラム、匿名チャット(Telegramほか)、ランサムウェアのリークサイトなどの多様なソースが含まれます。
日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。