ダークウェブ界の大物、痛恨のミス 見えてきた“正体”（3/3 ページ）

[Sh1ttyKids，ITmedia]

Dream Market（管理人）とダークウェブ上のフィッシング詐欺

　SpeedStepperについて調べていると、さらなる「疑惑」も垣間見えてきました。

　それは「SpeedStepperが、自身のマーケットに関連する詐欺に関わっているのではないか」ということです。いかに無法地帯のダークウェブといえど、マーケットに必要なのはユーザーの信頼。お金を払ったのに商品が届かないようなマーケットでは、法が裁かずともおのずとユーザーが離れていくのは必然です。

　世界最大のダークウェブマーケットの管理人が、自身のマーケットの詐欺に関わっているようなことがあるのでしょうか。私を含め数人のリサーチャーが、この疑惑を調査しています。

　私は5月ごろから、Dream Marketとダークウェブ上のフィッシング詐欺の関連性について疑っていました。6月にはダークウェブ専門のニュースサイト「Darknet Live」からも、「Dream Market管理人は詐欺ベンダーであるとスタッフが告発」という報道があり、その関連性が注目されています。

　この記事では、Dream Marketで業務の進行役を行っていた「FriedtheChicken」という人物が、「管理人であるSpeedStepperはフィッシング詐欺師と協力関係にある」と主張する声明を出したと報じています。

「管理人であるSpeedStepperはフィッシング詐欺師と協力関係にある」と主張する声明

　彼の発言には物的証拠がありません。詳しく聞くため、私はFriedtheChickenにインタビューを試みましたが、連絡は取れていません。彼について調べていると、彼自身が詐欺師であったという情報がいくつも出てきたので、この発言だけでは信ぴょう性があるとは言いにくいところです。

　しかし、私はいくつかの他の手掛かりから、SpeedStepperとDream Market上の詐欺に関連があるのではないかと考えています。

　まず不審な点として挙げられるのが、Dream Marketのソースコードにフィッシング詐欺をほのめかすコードが挿入されているということです。

Dream Marketのソースコード

Dream Marketのソースコードその2

　これらが実際のコードです。「Phisher site」（フィッシング詐欺のサイト）「You have been phished」（お前はフィッシングされた）といった文字列が確認できます。ソースコードからは、これらの文字列がhtml整形後のページ上に表示されるようにも見えますが、実際には表示されません。

　前者は何らかの形でユーザーへの注意喚起として書いている可能性も0ではありませんが、だとしたら文字列にhref属性でフィッシングサイトへリンクをわざわざ貼る理由はよく分かりませんし、ページ上に表示しないのもおかしなことです。

　また、Dream Marketをかたるフィッシングサイトの多さも気になっています。最新のダークウェブのサイトを常にスキャンして結果を公開している「fresh onions」というサイトでダークウェブ上にあるフィッシングサイトの数を調べてみると、Dream Marketだけで数百、下手をすると数千を超える数があります。人気な他のマーケットでも、自分が調べている限り、せいぜい数十〜数百程度。この数は異常です。

　ダークウェブの話題を取り扱うニュースサイト「DeepDotWeb」のライターも、SpeedStepperには不信を抱いているといいます。「われわれはこれまでにいくつものダークウェブマーケットの管理人とインタビューで話をしてきたが、Dream Marketの管理人であるSpeedStepperとは話はおろか、連絡先すら分からない」（DeepDotWebライター）

SpeedStepperと、ダークウェブのフィッシング詐欺で1億円稼いだ男

　他方、管理人SpeedStepperが「ある有名な詐欺師」と関係があるという疑惑もあります。

　SpeedStepperと関係があると目される詐欺師の名は「PhishKingz」といい、「ダークウェブ上でのフィッシング詐欺でダークウェブを支配している」と自身で豪語している人物です。

　DeepDotWebは過去にPhishKingzにインタビューし、彼は「（当時）世界最大のダークウェブマーケットを誇ったAlphaBayに対するフィッシング詐欺で1億円稼いだ」と公言していました。

　PhishKingzは過去に、あるダークウェブマーケットに対して脅迫し、サイトを閉鎖に追い込んだり、ハッキングを行って情報の不正取得をしたりしています。以前の記事で紹介した、ダークウェブマーケット「Dread」の管理人でもありハッカーでもある「HugBunter」とともに、界隈で良くも悪くも彼の名前は有名です。

　先ほどのDeepDotWebのライターは、PhishKingzにはいくつか不審な点があったといいます。PhishKingzと話していた時、何度か以前の会話を持ち出しても話がかみ合わないということがあったそうです。ライターは、PhishKingzの中の人は複数人いるのではないかと疑っていました。

PhishKingzの個人情報流出？

　そんな大物詐欺師PhishKingzですが、あるダークウェブマーケットの脆弱（ぜいじゃく）性に巻き込まれます。

　それはブラジル人向けの「Trishula Market」というダークウェブマーケットで、誕生したばかりの頃に私が調査したところ、OVHというサーバ会社にホストされていることを発見してしまいました。

　この情報は、海外でセキュリティリサーチャーをやっているx0rzさんを通じて公開していただきました。

　その後、この情報を基に、あるハッカーがこのサイトをハッキング、データベースをある場所に公開しました。彼いわく、いくつか脆弱性やサーバの設定ミスがあり、そこからバックドアを仕掛け、データベースをダウンロードしたということです。

　彼が公開したデータベースの中身を確認すると、そこにはPhishKingzの名前がありました。

　画像のbc2e〜の部分をGoogle検索で調べてみるとこれはmd5ハッシュの値のようで、ハッシュ化する前の文字列をたどると“stokefc12”という文字列が現れました。そのパスワードでGoogle検索してみると、違法薬物に関する議論を行う掲示板が出てきました。そこで該当する人物の投稿を見てみるとカナダについてよく言及していました。

　ダークウェブで有名なハッカーであるInsanityDRMさんはこれに気がついて、PhishKingzはDoxx（個人情報を漏えい）したと発表しています。

（参考：The Dark Web’s Most Notorious Thief, Phishkingz, Gets Doxxed）

　しかし、PhishKingzはこの漏えい後も活動を続けているため、本物の情報だったのかどうかいまいち疑問です。犯罪者の心理としては、自身の個人情報が一部でもバレたら、自身の痕跡をくらまそうとするのが普通の思考ではないでしょうか。

　では、ここで漏えいした情報は何なのでしょうか。もしかすると、PhishKingzはTrishula Marketのセキュリティの甘さをローンチ時点で調べて知っており、他の何者かがハッキングしてデータベースを公開した際に、自分のフェイク情報をあえてDoxxさせればいいと考えたのかもしれません。あえてそうすることで、自身の本来の情報が将来万が一Doxxしたとしても、その情報の真偽を分かりにくくする狙いがあるものと考えられます。

　だとすればPhishKingzは、捜査かく乱のために偽の個人情報を流すという、SpeedStepperと同様の手法を用いていることになります。

　Dream Market類似のフィッシング詐欺サイト群の多さ、Dream Marketのソースコードに埋め込まれた「Phish」の文字列、詐欺師PhishKingzのかく乱手口という3つの情報に加え、水面下にあるさまざまな手掛かりから、管理人であるSpeedStepperと、詐欺師PhishKingzに何らかのつながりがあるのではないかと私はにらんでいます。

　とはいえ、まだ確実に断定できる情報はなく、詐欺との関連性についてはまだ何とも言えません。リサーチャーとしてこれからも周辺情報を調査していき、新たな情報を発見次第、記事やしかるべき機関へ情報提供していきます。