Facebook、少女脅迫する凶悪変態ユーザー対策にハッキングツールを外注、FBIに提出

犯罪者逮捕で結果オーライも、どこまでが妥当かは難しい

Munenori Taniguchi
Munenori Taniguchi, @mu_taniguchi
2020年06月11日, 午後 05:05 in cybercriminal
0シェア
FacebookTwitter
boonchai wedmakawand via Getty Images

FacebookなどのソーシャルメディアやVoIPソフトを通じて複数の少女に性的な画像や動画を要求し、応じなければ学校や家族を襲撃する、または強姦して殺すなどと数年にわたって脅していたバスター・ヘルナンデスは、2017年にFBIによって検挙され、このほど41件におよぶ容疑について罪を認めました。

Facebook上では"Brian Kil"として知られていたヘルナンデスは当時、巧みにオンライン上での身元を隠しており、なかなか捜査関係者に足を掴ませませんでした。しかしあまりに悪質なそのユーザーを捕まえるため、Facebookが前例のないサポートをしていたことが判明しました。

ヘルナンデスはFacebookへアクセスする際に、セキュリティ保護機能が非常に高いTails OSと呼ばれるポータブルOSを使用し、さらに匿名プロキシのTorネットワークを使用して少女らに付きまとっていました。

Viceグループの科学技術系メディアMotherboardが、元Facebook従業員から得た話として伝えたところでは、Facebookはこの悪質かつ執拗な容疑者の逮捕に協力するため、サイバーセキュリティのコンサルティング企業に6桁にのぼる額の費用を支払い、Tails OSの鉄壁を崩すハッキングツールを開発したとされます。

Facebookは社内でヘルナンデスの悪行を認識しており、逮捕に至るまでの約2年間、プラットフォーム上での行動を追跡していました。

いくつものアカウントを作っては新たな被害者に接触しようとする悪意あるユーザーを検出するため、専用に機械学習されたシステム開発すらしていたと、匿名の元Facebook従業員はMotherboardに語っています。またいくつかのFBI捜査チームは、自前のハッキングツールでヘルナンデスを追跡しようとしたものの失敗に終わり、逆にヘルナンデスに感づかれてしまったとも述べました。

当時アレックス・ステイモス氏が率いていたFacebookのセキュリティチームは、さらに踏み込んだ対応が必要だと考え、FBIを助けるためTails OSをハッキングするゼロデイ攻撃ツールをセキュリティコンサルティング企業に作らせたということです。

このツールはTailsが採用している動画プレーヤーソフトの欠陥を突いて使用者のIPアドレスを割り出すことができました。そしてFacebookは、このツールを(Facebookが常にこうした対応を取るとは思われたくないため)仲介者を通じてFBIに渡したとのこと。

FBIはヘルナンデスが動画を要求してきた被害者のひとりに、ブービートラップとなる動画を送信させてIPアドレスを割り出し、ようやくこの犯罪者の逮捕に成功しました。

Facebookが自社サービスユーザーのハッキングを目的に、Facebookとは無関係なTails OSのゼロデイエクスプロイトを作らせたことがはたして正当な行為だったかどうかは、倫理的な問題を提起する出来事と言えそうです。

とはいえFacebookの担当者は、いかにヘルナンデスの行為が凶悪で、巧みに少女らを恐怖に陥れていたかを考慮したとして、その行動が正しかったと主張しています。またヘルナンデスが自身のオンラインでの身元を巧みに隠していたことから、この犯罪者をハッキングしても他の人のプライバシーに影響がおよぶことはないと判断したとしました。

もちろん、Tails OSそのものは犯罪者のためのOSではありません。たとえば活動家やジャーナリスト、政府組織、または家庭内暴力の被害者、プライバシーに敏感な消費者らは、可能な限り身元を晒さないためにこのようなOSを使用していることがあります。

とはいえFacebookがFBIに渡したツールが突くゼロデイ脆弱性は、ヘルナンデス以外にも使える可能性があります。法執行機関によるハッキング濫用を監視しているロン・ワイデン上院議員は、FBIがこのハッキングツールをその後どう処理したかについて疑問を呈しました。

またTails側は事件を知らず、Facebookから当該脆弱性の報告も受けていないと述べています。ただ、元Facebook従業員は、Tailsにゼロデイの欠陥を報告する予定だったものの、それまでに修正パッチが提供されたため報告する必要がなくなったと語りました。

結果だけを見れば、凶悪な容疑者が捕まって罪を認め、あとは判決を待つだけの状態になったのは喜ばしいことです。しかしそのための手段として、プラットフォーム企業がユーザーのハッキングに手を貸したことが、はたしてどこまで正しいのかは、賛否の分かれるところかもしれません。

また、たとえパッチが出たからと言ってTailsにゼロデイ脆弱性を報告しなかったFacebookの対応も、最後の仕上げとしてやや詰めが甘かったような気もします。

source:Motherboard

 
 

TechCrunch 注目記事新型コロナのソーシャルディスタンスを支援するビデオチャットアプリ8選

新型コロナウイルス 関連アップデート[TechCrunch]
関連キーワード: cybercriminal, cybersecurity, security, privacy, facebook, fbi, hack, zero-day, tails, exploit, child abuse, news, gear
0シェア
FacebookTwitter