※この記事は以下の記事の翻訳です。

www.deepdotweb.com

-

　ダークウェブ上に存在するサイトで世界最大だったAlphaBay(以下AB)、今年7月5日に閉鎖されるまでに会員数は40万人を誇っていました。管理人はカナダ人のアレクサンダー・カーゼス、タイで逮捕され独房で自尽しました。しかし、ABにおいてその人気を利用し影でフィッシング詐欺を行うPhishKingzという人物がいました。彼もまた有名でTradeRouteやその他のダークウェブ上にあるウェブサイトを標的に攻撃などを行いニュースにもなっています。

　今回はDeepDotWeb(ダークウェブをまとめている人気のニュースサイト)がPhishKingzに対してインタビューを行い記事になっていたのでそれを翻訳しました。

-

あなたは誰ですか？そして何を行なっていますか？

こんにちは私はPhishKingzです。フィッシング詐欺でダークウェブを支配しています。今からPGP署名を見せます。

あなたはどのような理由から自身をダークウェブの支配者だと思っていますか？私は他にも色々な方法で詐欺を行う詐欺師をたくさん見てきましたが。

私はABを標的にし、フィッシング詐欺でたくさんのアカウントを盗みました。昨年ABで行なったフィッシング詐欺だけで100万ドルもの収益がありました。

私はよく知られたベンダーですが名前の公開は控えさせてもらいます。しかし私の作ったフィッシング詐欺のためのリンクはよく知られていますので見せます。

あなたが用いる手法は何ですか？サイトを丸パクリするクローニングですか？偽のログインページによるものですか？もしくはその他？

私は基本的にクローニングを用いています。クローニングでそっくりのサイトを作成し、引っかかった人が入力したニーモニックコードやPGPの秘密鍵、PINコードなど様々な情報を同期し搾取することができます。

Onion Cloner*1を使いましたか？それはすぐにクローンできますか？もう一つ質問すると、BTCのデポジットアドレスは変化させていますか？

クローニングにはGarlic Softwareを使いました。BTCのデポジットアドレスの移動に関してはミキシングサービスを使っています。

私はLocalBitcoinsにトータルで約500BTC持っています。このアカウントは１年と２ヶ月前に作成したもので、全てフィッシング詐欺により得たものです。cryptopay.meのアカウントにも過去６ヵ月で得た400,000ポンド以上の価値を持ったBitcoinが入っています。

どのようにしてフィッシング用のリンクに誘導していますか？

私はフィッシングを掲示板から開始しています。以下の画像を見て下さい。新しくメンバー登録がされた瞬間、その新メンバーに登録時の認証メールを偽ってフィッシング用リンクを送るコードを入れておきます。

この情報はとても面白いです。

確かにそうです。たまに膨大な量のBitcoinを送ってくる”バカ”がいると笑いを堪えきれません。

どうやって誰がどれ位預金をしたという情報を確認していますか？後、どのように誰にも気付かれないスピードで資金を移動させているんですか？

私はブックマークに”blockchain[.]info/address/hhhhh”を追加し、20分おきに最新の情報を確認しています。

それを手動で取得していますか？もしくは自動化スクリプトを用いて預金情報を取得していますか？

私はボットを用いて預金を引き出していましたが、ABは一週間ごとに更新していたのでそれに合わせてメンテナンスをするのが大変でした。ABの管理人はボットに対処する為に抜け道を締め、captchaを更新していたのはさすがだなと思いました。

つまり、"預金をし、キックアウトをされた"という旨のメッセージ、またはクレームの全てはあなたからだったという事ですか？

はい、それら全てです。時々自分の手柄を自慢する為に大きなフォーラムに行くことがあります。時々、私のやった事なのに、あたかも自分達の手柄として横取りする管理者とモデレーターが嫌いでした。ある時は、フィッシング詐欺をしている私のために27人の人が働いていたこともあったんですよ。

ABが無くなった後はどこを標的としていますか？

ABが閉鎖した後は、Dream Marketに移り、新しいフィッシングサイトを立ち上げて、既に4BTCも儲けました。信頼を得ていたABの頃の多くの古いアカウントは移動し、現在Dreamで活動を行なっています。それらは活発に活動を行なっています。

一連のフィッシング詐欺を止めるように管理人から何か連絡があった事はありますか？もしくは管理人があなたを止めるために何らかの手法で攻撃をしてきましたか？例えば、DDoS攻撃とかで。

はい、しかしそれは効果がありませんでした。管理人は本当に顧客のことを気にしていませんでした。顧客の問い合わせに対してサポートチケットを開くだけでした。BM(Big Muscles - ABモデレーター)は特に馬鹿だった。私が既に預金をフィッシングしたことを知ってたのにも関わらず、ニーモニックフレーズを提供すれば、彼の持っている資金のうちの50%を私に送金してきたのです。

人々のお金を盗む事に対して罪悪感はないですか？

悪いと感じることもある。しかし、私はフィッシング詐欺によって釣られた彼らが、このような場所で詐欺にかからないように教えてやっていると思っています。彼らは私がサイバー犯罪者を摘発しようとしている連邦捜査官ではなかった事だけで安心すべきだ。

笑、なんかしょうもない話ですね。

確かにそうかもしれないけど、私なりに私のやっている事は好きでした。もう二度とABのようなマーケットは二度と現れないでしょう。ABはそこら中に穴だらけだったけど、良い場所だった。閉鎖された時は涙しました。私はこれまで、ABだけしかフィッシング詐欺をした事が無い。他の場所ではやってないんですよ。

あなたのした事が本当に正しかったかどうかは、時間が経てばわかる事でしょう。あなたは私達のユーザーのためにもフィッシング詐欺を行っていますか？もしくは、マーケットに近いHidden Service/Clearnetのウェブサイトにも行っていますか？

いいえ、昨日私がDreamに移行するまでABを標的にフィッシング詐欺を行っていたのはABがそこに存在していたからです。なのでABが潰れた今はDreamにいます。

なぜ今回取材を受けてくれましたか？

これに関して確信を持った答えはありませんが、インタビューの機会を偶々得る事ができたので受ける事にしました。また、私はDeepDotWebが本当に好きで長い間使ってきたので、もはや私の一部です。いつも素晴らしい記事があるので、協力できる事はとても名誉な事だと思っています。

ありがとうごさいます!!無料の広告を探している売人以外にインタビューするのはとても新鮮です。

フィッシングはかなり面白いことがあります。私が見つけた事の中にはあなたが知ったらびっくりするものもあるでしょう。何人かは本当に”バカ”でダークウェブにいてはいけないと思う。情報をアップしているベンダーがいれば、それは馬鹿げたことです。

はい、私は経験豊富なこのサイト(DeepDotWeb)のモデレーターとして自分のアドレスとクレジットカード番号を掲示している人を見た時は、これまで経験した恐ろしいことの一つとして証言できるでしょう。

最後に何か話しておきたいことはありますか？

いいえ、しかしありがとう。これでもう充分でしょう。私もそろそろ寝ますので。あなたと話ができてとても良かった。

PhishKingzさん、Bitcoinの管理はくれぐれも注意するようにしてくださいね。不用意にリンクをクリックなんかしたら、私が全部取ってしまいますよ。

-

　ダークウェブというと高度なサイバー犯罪者がいるイメージがとても強いですがPhishKingzの言うようにopsec(身元のセキュリティ)が甘い人もいるようです。不用意にonionアドレスをクロールし収集したリストを作っているサイトなどからそれらのマーケットにアクセスしないようにしましょう。フィッシングサイトである可能性がかなり高いです。DeepDotWebなどに載っているものなどからにしましょう。

-

*1 Onion Cloner...紛らわしい似たようなonionアドレスを生成し、本物のサイトから自動でサイトのデータを取得するものでフィッシング詐欺をする時に利用する。しかし、取得の際にもTorを経由しなければならないので動作が重い。がしかし、本物のサイトからそのままなので見分けがつきにくい。

　前回まではダークウェブ上のウェブサイトに存在する致命的なミスについての話をしました。ではそもそもダークウェブとは一体何なのでしょうか?、どんな感じなのか?などを書いていきたいと思います。

-

ダークウェブとは

　ダークウェブとは基本的に通常のgoogle検索などの検索に引っかからず、URLを入手できてもすぐにアクセスできないサイト群のことを指します。FireFoxをカスタマイズした専用のTor Browserと呼ばれるソフトウェアを使用することによってアクセスが可能となります。

絶対にアクセスしてはいけない場所なのか？

　メディアは”ダークウェブとは通常我々がいつも見ているようなサイトではなくサーバーの所在が隠された犯罪者の溜まり場のようなものだ”と書いていたりしますが、私は決してそうではないと思います。実際のところどうなのかというと、100%悪い人たちがダークウェブを利用しているわけではありません。言論弾圧を受けている国の人やジャーナリストや活動家、一般の人で大量監視から逃れたいと考えている人などの悪意を持っていない我々となんら変わらない人たちも使っています。

　私は"ある程度のコンピュータに関する知識、リテラシー、覚悟"を持っているならば誰でもアクセスをしても構わないと思っています。まず知識ですが、これはダークウェブにアクセスする際に講じる対策のことです。アンチウイルスソフトを入れておくかSubgraph, Tailsなどの専用のOSを利用してアクセスすることをお勧めします。

https://tails.boum.org/tails.boum.org

subgraph.com

　リテラシーに関しては、無いのであれば掲示板などが存在しても"決して"とは言いませんが書き込まないことをお勧めします。ところで関係ないように思えますが自分語りはいくら技術を利用して身元を隠していても特定される原因になりかねないので気をつけてください。最後に覚悟ですが、ダークウェブで取り扱われているコンテンツはサーフェスウェブで扱われている内容の数百万倍ほど濃いものが多いです。腎臓を売っている売人もいれば向精神薬や銃を売っている売人もいますが、極め付けは掲示板で子供を薬で寝かしつける方法を聞いている人もいます。なぜそんなことを聞くのかは言うまでもありません。それほどまでに濃い内容なので、ある程度気持ちを作ってからアクセスする方が良いでしょう。

違法なサイトしかないのか？

　ここまではサイバー犯罪者のいるところの話をしましたが通常のウェブサイトもあります。前述に軽く書きましたがダークウェブ上では麻薬、児童ポルノ、ハッキング、暗殺などの普段我々が見ることのないコンテンツを多岐に渡って見ることができます。しかし、そのようなサイトばかりではなく、活動家や人権保護団体、メールプロバイダなどのサイトもいくつか見つけられます。例えばProtonMailと呼ばれるメールプロバイダはサーフェスウェブにサイトがありますが、他にダークウェブ上でもアクセスできるようにサイトが作られています。これはProtonMailを検閲しようとしている国家からそこの国に住んでいるユーザーを守るためです。他にも健全なサイトもあるので下記に少しリストを作っておきます。

ダークウェブ上にある普通のサイト

• protonmail.ch (protonirockerxow[.]onion)
• blockchain.info (blockchainbdgpzk[.]onion)
• njal.la (njalladnspotetti[.]onion)
• nytimes.com (www.nytimes3xbfgragh[.]onion)

ダークウェブ内での犯罪者の動き

　ダークウェブ内の人々の動きはどうなっているのでしょうか。前回、前々回の記事にも出てきたIDC2.0、ElHerbolarioを含めここに記したいと思います。ダークウェブ上ではどんなサイトが存在しているのか大きく分けていくつかあるので下記に示します。

• Vendor Shop(Elherbolarioはここに属する)
  • 向精神薬専門のShop
  • 大麻専門のShop
  • Fake ID/Passport(※1)専門のShop
  • 盗んだCredit Card専門のShop
  • RDP(※2)専門のShop etc.
• Dark Net Market/Forum(IDC2.0はここに属する)
  • 薬専門
  • なんでもあり etc.
• Bitcoin Mixer/Tumbler
• Hacking Forum

　マーケットではAmazonのように出品者(Vendor)がいて買い手がいます。出品者はサイトの登録時に手数料を取られることがあります。これは詐欺師が入ってこないようにする簡単な防御策です。しかし、認証済み(後述するGramsなどにおいて)であれば割引き、もしくは無料で登録する事が可能であると謳うところもあります。さらに基本的にダークウェブに存在するマーケットの多くは掲示板が付属しています。その掲示板で話し合われる内容というのはマーケットにいる詐欺師に関する情報、サイトに存在するバグ、サイトの管理者からユーザーに対してのアナウンスなど多岐に渡ります。一方、Vendor Shopはどうでしょうか？売り手と買い手が1:多数です。売り手が自分専用の小規模なサイトを構えてそこで販売を行っています。

　現在、Vendor Shopでは専業化が進んでいて銃の専門店や薬の専門店などがあり、中でも取り扱われる種類が細かく分かれています。ユーザーは後述するredditやwikiなどで作られたリストの中から自分に合ったShopを見つけてそこで取引を行います。ですが、そのユーザーを騙したい詐欺師もたくさんいます。ではどうやって詐欺師か本物かを判断しているのでしょうか？

　Grams(grams7enufi7jmdl[.]onion)というダークウェブを検索できるGoogleライクのサイトでは薬を売っている売人が詐欺師ではないかを確認できるサービスが付属しています。レビュー機能も付いており、ユーザーはそれを使って詐欺かどうか、質が良いかなどを判断しています。他にもreddit(/r/DarkNetMarkets, /r/onions, /r/deepweb)などの掲示板での他のユーザーの投稿を見て詐欺師かどうかを判断することも可能です。

　このGramsと呼ばれるサイトには他にもBitcoin Mixing Serviceと呼ばれるサービスも付いています。通常、Bitcoinというのは入出金情報が公開されており誰でも検索することが可能です。匿名性が高い仮想通貨とよく言われますが匿名性はほぼ皆無と言っても過言ではないです。なのでBitcoin addressを知っていればBlockchain Explorer(blockchain.info)などでどこからBTCが入金されてその後どこに送られたのか、といった情報を見つけることができます。そこでMixing Serviceは複数のウォレットを経由させたりバラバラに送金を行うことによって追跡できないようにします。これを使い犯罪者は不当に得たお金を当局に追跡されないようにします。しかしこれに関しては何も犯罪者だけが使うのではなく一般の人でプライバシーを気にしているという方も利用するべきだと私は考えています。

　最近になって高い匿名性を主張する仮想通貨が増えてきました。ダークウェブ上で取引をする犯罪者はそれらの仮想通貨を利用しているようです。一部のマーケットで下記の仮想通貨に対応していることを確認しました。代表的なものが３つほどあります。詳細な説明については今回は省略したいと思います。

• DASH(Darkcoin)
• Monero
• Zcash

　Hacking Forumは主に登録制が多いです。ログインをしないと見れなかったり、Invite Onlyと呼ばれる招待制で招待コードがないと会員登録すらできないようなところもあります。このようにして外部からの調査や捜査の手を阻んでいます。さらにVIP会員を設定し、ある一定の額面を支払わないと登録もできないところがあります。そこでは本物のサイバー犯罪者たちがマルウェアや0day、販売用のツールなどに関する情報をやり取りしています。

-

最後に

　私はこれまで犯罪者について書いてきましたが私はこれらのダークウェブと呼ばれている場所は我々一般の人たちのプライバシー保護に非常に多くの良い影響を及ぼしていくものだと思っています。2013年にアメリカ合衆国の諜報機関NSAの機密文書を暴露したエドワードスノーデン氏は日本の共同通信のインタビューに対して下記のように述べています。

(共謀罪、テロ等準備罪に対して)これは日本における大量監視の始まりであり日本にかつてなかった監視文化が日常となる。 人はよくこう言う「隠し事がなければ怖がることはない」 「監視システムがどれほど侵入してこようと不安に思う必要はない」 「自分は普通の人間だから放っておいてもらえる」

プライバシーとは「隠す」ことではない。 プライバシーとは「守る」ことだ。

開かれた社会、多様性を認める自由な社会を守るということだ。 プライバシーとはかつて「自由」と呼んでいたものだ。 許可なしで行動できる権利のことだ。 どう見られ、どう判断されるかという心配なしに公然と自由に行動できる権利のことだ。

www.youtube.com

　私はスノーデン氏の言う通りだと思います。例えば、我々は普段服を着て生活を営んでいますが、インターネットでは常に隅々まで監視されています。いわば全裸の状態にあると言っても過言ではありません。我々にはそういった監視から逃れる権利くらいはあるはずです。そういった監視から自分を守るためのツールはこの世にたくさんあります。しかし、報道機関はダークウェブの悪い面ばかり記事にしておりダークウェブが悪目立ちしていることがほとんどです。ですから"ダークウェブにアクセスすることはいけないこと"だと考えている人も増えてきていると感じています。Torやその他のプライバシー保護ツールは犯罪者を守るために作られたものではありません。私はこの事実をもっと世の中に広めていきたいと考えています。我々一般人はもっとこの事について議論し話し合うべきだと思います。以下にプライバシー保護ツールに関して詳しく書かれたサイトを載せておきます。

www.privacytools.io

prism-break.org

-

※1: 偽造した身分証明証やパスポートのこと

※2: コンピュータをリモートで操作するためのprotocolである"Remote Desktop Protocol"の略。設定を誤ったコンピュータを乗っ取り販売している