LulzSecの50日間の軌跡 (Part 2)

(Part 1)はコチラ

LulzSecの正体暴露、CIAに雇われている!?

世界的に著名な「ハッカー」と言えばいろいろと名前が挙がると思うが、この人 Kevin Mitnickも間違いなくその中にはいるだろう。下村 努さんやFBIとの攻防は様々な書籍で語られているし、映画にもなっている。Mitnick氏も PSN事件や LulzSecについては注目しているらしく、それまでにも度々 Tweetしていた。そしてある日(6/4)、こんな Tweetを。

リンク先の Pastebinにはこんな内容が…
http://pastebin.com/RBjzDQbS

####[CRIMINALS OF LULZSEC]####
After being invited to the lulzsec private channel after social engineering parr0t
I was able to learn a few interesting things about their group! Alot them have
previous cyber crime and are involved in some heavy shit!

jux = me

I BELIEVE THEY ARE BEING ENCOURAGED OR HIRED BY CIA

Here are the members of lulzsec:

[MEMBERS]

Adrian Lamo [USA]

Adrian Lamo adrian@2600.com
LulzSec LLC
108 WEST 13TH STREET
Wilmington, Delaware 19801-1145
US
+1.8889201981
Owns the domain for lulzsec.com has previous cyber crime

(この後ろにも他のメンバー情報とドメイン情報が続く。)


これを見た Mitnick氏のフォロワーは「LulzSecのメンバー情報が暴露された!」と ReTweetする人が続出した。このPastebinには他に lulzsec.comの Whois情報も掲載されており、確かに Whoisを調べるとその通りになっていた*1ドメインのコンタクト先はやはり Adrian Lamo氏。しかしこの情報にはわかる人はすぐに気がつくおかしな点がいくつもあった。彼らの Webサイトのドメインは lulzsecurity.comであって lulzsec.comではない。もちろん似たようなドメインも取得しているかもしれないが、それにしたって Whoisに自分の情報をそのまま登録する間抜けがどこにいるのか。それになりよりメンバーが Adrian Lamoとは、最もありそうもない人物ではないか!WikiLeaksに米軍の機密資料を提供した Bradley Manning上等兵の名前を当局に売った人物、それが Adrian Lamo氏なのである*2WikiLeaksを支援している Anonymousから忌み嫌われている人物がよもや LulzSecのメンバーのはずがない。つまりこの情報は「釣り」だったわけだ。

もちろん Mitcnick氏はこれらを十分承知のうえで、ネタとしておもしろいと思って Tweetしたわけだが、思いのほかストレートな反応が多かったことに驚いたらしく、こんな感想をもらしている。


この話には後日談があって、この数日後にリークされる LulzSecの IRCチャットのログに、この件について彼らが話をしている様子が記録されている。どうやら LulzSec自身が仕組んだネタだったようだ。

Sownage2

LulzSecはその後も Sonyに粘着した。続いて彼らが Sownage2と称してリリースしたのは、SCE Developer Network (www.scedev.net)のソースコード一式と、Sony BMGの内部ネットワーク情報だった(6/6)。

Sownage 2 Press Release

Konichiwa from LulzSec, Sony bastards!

We've recently bought a copy of this great new game called "Hackers vs Sony", but we're unable to play it online due to PSN being obliterated. So we decided to play offline mode for a while and got quite a few trophies. Our latest goal is "Hack Sony 5 Times", so please find enclosed our 5th Sony hack.

Enjoy this 54MB collection of SVN Sony Developer source code. That's hackers 16, Sony 0. Your move!

ACHIEVEMENT UNLOCKED: HACK SONY 6 TIMES! Oh damn, we just did it again, please also find enclosed internal network maps of Sony BMG.

Lulz Security

(こんにちは(Konichiwa)と日本語で挨拶している!)


なぜ彼らが執拗に Sonyを狙ったのか理由はよくわからないが、世間の注目を集めていた PSN事件に便乗する形で、彼ら自身の知名度も上がったことは間違いない。5月末には1万人に満たなかった @LulzSecのフォロワーも、1週間後のこの頃には10万人にせまろうとしていた。

以下のグラフは Twittercounter.comからの引用。

IRCログのリーク、そして LulzSecが逮捕された?

Sownage2のリリース直後、2つの事件が続けておきた。まず最初に [Full Disclosure]というメジャーなメーリングリストに LulzSecの IRCチャットのログと称するものが投稿された(6/6)。後から振り返ってみると、結果的にこの事件は LulzSecのその後の活動にかなりの影響を及ぼしたと考えられる。
Full Disclosure: LulzSec EXPOSED!


チャットの内容についてはこれまでにも度々触れたが、実際に起こっている LulzSecの活動と矛盾がないことなどから、どうやら本物と思われた。LulzSecも否定するのは難しいと考えたのか、すぐに声明を出した。少し長いが以下に全文を引用する。

Re: "LulzSec Exposed" - Pastebin.com

Dear Internets,

Herro! Recently some of you may have seen "LulzSec exposed" logs floating around. We'd like the time to say this: LOL. Those logs are primarily from a channel called #pure-elite, which is /not/ the LulzSec core chatting channel. #pure-elite is where we gather potential backup/subcrew research and development battle fleet members, i.e. we were using that channel only to recruit talent for side-operations.

Note that people such as joepie91/Neuron/Storm/trollpoll/voodoo are not involved with LulzSec, they just hang out with us in that channel. Also, "ev0", who was allegedly arrested (?) was never a part of LulzSec or in fact the subcrew. We don't even know who he is.

Despite the fact that we're laughing heartily right now, we do take care of our subcrew, and as such the person who leaked those logs (m_nerva) has been completely hacked inside and out. We have all his online accounts, all his personal information, all the illegal things he's done on record. We destroyed him so hard that he sat there apologizing to us all night on IRC for what he did. His mother probably spanked him after we wrecked his home connection. Uh-oh, m_nerva!

Our core chatting channel remains unaffected. Our core LulzSec team is at full strength. The Lulz Boat sails stronger than ever, nice try though.

TL;DR we are too sexy to be sunk, hacking continues as usual, u mad bros?

http://lulzsecurity.com/
twitter.com/LulzSec

内容を要約すると、こんな感じ。(リークされたログはココココで全文見られる。)

  • 投稿されたログは確かに LulzSecの IRCのものだが、新メンバーのリクルートのためだけに使っていたチャネルである
  • ログに出てきたメンバー(joepie91, Neuron, Storm, trollpoll, voodoo, そして ev0)は LuzSecではない
  • このログをリークした m_nervaには制裁を与えた (彼のアカウントは全てハックした)
  • LulzSecのメインの IRCチャネルは全くの無傷である


平静を装っている感じの声明だが、ここで重要なことがわかった。実はチャットログには上で挙げられたメンバーの他にも多数の Nicknameがあった。中でも発言回数の多かった Topiary, lol, Sabuなどの名前が挙げられていない。否定しなかったからといって肯定したことにはならないが、彼らが LulzSecメンバーである可能性は高いと言えるだろう。


また、リクルーティングに使っていたチャネルなので重要ではない、との主張はやや説得力に欠けた。そんなチャネルに #pure-eliteなどという大層な名前をつけるか疑問だし、ログの内容は彼らのメインのオペレーションに関するものと思えたからである。ログには

などが記録されており、単なるリクルート活動には見えない。

のちに、このログを分析して LulzSecの実態にせまろうという記事が多数掲載された。またログをリークした [redacted] (m_nerva) は制裁を受けている。(後述)


もう一つこれに付随して起きたのが、LulzSecメンバーが逮捕されたという The Epoch Timesの報道(6/6)。
http://www.theepochtimes.com/n2/technology/lulzsec-member-arrested-group-leaks-sony-database-57296.html

Hacker group LulzSec, also going by the name Lulz Security, leaked the source code of the Sony Computer Entertainment Developer Network, around 11 a.m. EST on June 6.

Just following the hack, LulzSec chat logs appeared online detailing a government raid of their chat server, stating “military hackers are trying to hack us.” They stated one member of the group, Robert Cavanaugh, was arrested. He is now allegedly in FBI custody.

何を思ったか Full Disclosureに投稿された内容を鵜呑みにして「LulzSecが FBIに逮捕された!」と発表したのである。確かにIRCのログは本物だったが、投稿されたメールには釣り情報も一部含まれていて、これにひっかかってしまったのである。当然、裏付けるような報道は続かなかったし、その後 LulzSecも Twitterで否定した。これらを見て、The Epoch Timesも間違いに気がついたらしく、その後上記の記事を訂正して謝罪している。


(Part 3)へと続く…のか?

*1:現在は違う情報になっている。

*2:彼はチャットで Bradley Manningから米軍の情報ネットワーク SIPRNetにある機密情報をダウンロードしたことを聞いていた。Wikipedia参照。

*3:(Part 1)の記事を参照のこと。

*4:彼らは6月にはいって BitCoinによる寄付を受け付けるようになった。

*5:ログによると、メンバーの一人が 2600.netで接触した内部関係者から提供されたものらしい。