刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00
by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits（27歳）に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれば、早く釈放されるだろう」という大胆な試みは失敗に終わり、彼自身が刑務所入りするという結果となった。

ハッキングの手法

Voitsの逮捕が伝えられたのは昨年2017年12月。このときは「友達のための刑務所ハッキング」という面白さと、その手口がちょっとした話題になっていた。英国メディア『The Register』の12月7日の記事に掲載された裁判記録によると、まずVoitsは2017年1月、ウォッシュトノー郡のドメイン「ewashtenaw.org」に似せて、wのかわりにvを2つ重ねたドメイン「ewashtenavv.org」を取得した。

その後、同ドメインを利用して一人のウォッシュトノー郡の職員になりすました彼は、狙った職員にメールを送ってewashtenavv.orgのサイトへ誘導しようと試みた。しかし、このスピアフィッシングは成功しなかった。そのためVoitsは同郡のITマネージャになりすまし「システムのアップグレードのため」と称して職員たちにサイトを訪問させ、そこから.exe ファイルをダウンロードするよう指示し、マルウェアをインストールさせた。この連絡には電話が利用されたと伝えられている。

つまり刑務所の管理システムをハッキングする際、Voitsは技術的な手法のみに頼ったのではなく、フィッシングメールや電話によるSE（ソーシャルエンジニアリング）の手法を複数の角度から駆使している。このようにして「人間の脆弱性」を悪用したVoitsは、1600人以上の職員の詳細なログイン情報を入手し、郡のネットワークへのフルアクセスを手に入れた。そこには受刑者の記録管理に利用されているコンピューターシステム「Xjail」も含まれていた。

侵入、発覚、逮捕

そして2017年3月、管理システムへの侵入を果たしたVoitsは、ついに友人（その受刑者に関する情報は公開されていない）の記録の改ざんに成功した。しかし彼が行ったデータ修正は、すぐさま他の職員に気づかれることとなる。報告を受けた当局は、改ざんされた情報を直ちに修正するとともにフォレンジック調査を行った。それらの対応に支払われた費用は23万5488ドル（約2400万円）にのぼった、と当局は主張している。

その後、まもなく逮捕されたVoitsは自身の罪を認めて嘆願取引に同意し、また資産没収についても同意した。そして2018年4月、彼に下された判決は8ヵ月間（7年3ヵ月）の禁固刑となり、さらにラップトップ1台、4台の携帯電話、385.49ドル（4万円弱）相当のビットコイン、および集積回路部品ひとつが没収されたと報告されている。

実はVoitsは、この事件を起こす前にも、サイバー犯罪に関連した事件や、その他（薬物所持など）の訴えで何度となく米当局の世話になっている。たとえば彼は2015年に連邦捜査局、国家安全保障局、ミシガン州警察に対して「テロの脅しを行った」と報告されている。ただし当時の彼は、ミシガン大学病院で精神医療のケアを受けている最中だった。

AP通信の4月26日の報道によれば、今回のウォッシュトノー郡の事件でも、Voitsの弁護士は「彼の深刻な病の影響が大きかった」と説明している。このように彼のバックグラウンドは少々複雑だ。しかしThe Detroit Free Pressの同日の報道によれば、当局は「Voitsは精神面の健康の問題を抱えているが、自身の不正について完全に理解している」と語っているという。

ともあれ、彼のハッキング、およびソーシャルエンジニアリングの能力が非凡であることには疑いの余地がないだろう。検察はVoitsについて「途方もない（extraordinary）才能」を持った人物であるにも関わらず、それを地方自治体のコンピュータ侵入に利用してしまったと表現している。7年の刑期を終えたときの彼が、サイバー犯罪を防ぐための手段として、その能力を活かせるようになっていることに期待したいところだ。