FBIはいかにしてTwitterハッキングの容疑者を突き止めたのか - (page 3)

　ハッキング発生の翌日、Twitterは正式に刑事告訴し、FBIと米シークレットサービスが捜査を開始した。

　起訴状によると、FBIはソーシャルメディア上で、あるいは報道機関によって共有されたデータを利用し、Discordのチャットログおよびユーザー情報を入手したという。

　また、ハッカーによる広告の一部はOGUsersフォーラムに投稿されたため、FBIは、2020年4月に同フォーラムがハッキングされた後に流出した同フォーラムのデータベースのコピーも利用している。このデータベースには、登録されているフォーラムユーザーについて、メールアドレスやIPアドレスなどの詳細情報、さらにはプライベートメッセージも含まれていた。

　当局は、米内国歳入庁（IRS）の支援を受けて、Coinbaseからのデータも入手した。ハッキングに関与したビットコインのアドレスと、3人の容疑者が過去にDiscord上のチャットおよびOGUsersフォーラムへの投稿で使用した、あるいは言及したアドレスなどのデータである。

　3つのソースから得たデータの相互関係から、FBIは3つのサイトでハッカーの身元を追跡し、それをメールおよびIPアドレスに結び付けることに成功した。

　例えばFazeli容疑者の場合は、本人のOGUsersページからDiscord上のユーザー名にリンクしていることを突き止めている。運用上のセキュリティ（OpSec）という点では、明らかな失策だ。

提供：ZDNet

　またFazeli容疑者は、身元を隠すうえでほかにもいくつか失敗を犯している。まず、OGUsersフォーラムのアカウントを登録する際にはdamniamevil20@gmail.comというアドレスを、Twitterの@foreignアカウントを乗っ取ったときにはchancelittle10@gmail.comというアドレスをそれぞれ使っていた。

　その同じ2つのメールアドレスをCoinbaseアカウントの登録にも使用しており、しかもその本人確認として運転免許証の写真を使っていたのである。

　Fazeli容疑者はさらに、Discord、Coinbase、OGUsersという3つのサイトにアクセスするとき家庭用ネットワークを使っていたため、3つのサービスすべてで接続ログに自宅のIPアドレスを残してしまっていた。

　OGUsersフォーラムではChaewonを名乗っていたSheppard容疑者（ever so anxious#0001）についても、状況は似ている。捜査当局によると、ハッキング当日に投稿された広告のおかげで、Sheppard容疑者のDiscordユーザー名とOGUsersでのユーザーの特徴を結び付けることができたが、流出したOGUsersのデータベースからも確認できたのだという。Chaewonはあるビットコインアドレスと紐づいたユーザー名を使ってテレビゲームを購入していたが、そのビットコインアドレスが、ハッキング当日に使われたアドレスと結び付けられたのだ。

提供：ZDNet

　Fazeli容疑者の場合と同様、Sheppard容疑者もCoinbaseにアカウントを所持しているが、複数のアカウントの本人確認にやはり本物の運転免許証を使っていた。

　Clark容疑者とDiscordユーザーKirk#5270との直接的なつながりを当局はまだ解明していないが、1日に別の政府筋が公開した情報からは、同一人物であることが示唆されている。

　第一に、ヒルズボロ郡の州検事Andrew Warren氏の主張がある。1日に逮捕したタンパ在住の17歳の少年（Clark容疑者）が、このハッキング事件の「首謀者」であったというのだ。この計画全体でKirk#5270が果たした役割と一致する。

　第二に、米連邦検事局カリフォルニア州北部地区のプレスリリースによると、3人目のハッカーが未成年であることから、当局はその処分をフロリダ州タンパの第13司法裁判所（ヒルズボロ郡）の州検事に委ねたという。

　同裁判所は1日、そのハッカーの逮捕を発表し、Graham Ivan Clarkという実名も公表した。