浮気調査から政治家の悪評削除までさまざまな「ハッキング」を盛んに行うインドのハッカーへ潜入取材

非営利のジャーナリズム組織「The Bureau of Investigative Journalism(TBIJ)」とイギリスのメディア「The Sunday Times」が協力し、インドのベテランハッカー相手に潜入取材を実施しました。

Exposed: the global hacking network that targets VIPs | News | The Sunday Times
https://www.thetimes.co.uk/article/exposed-the-global-hacking-network-that-targets-vips-nff67j67z

Inside the global hack-for-hire industry — The Bureau of Investigative Journalism (en-GB)
https://www.thebureauinvestigates.com/stories/2022-11-05/inside-the-global-hack-for-hire-industry

ハッキングは違法行為であるため、ハッカーの業界は非常に秘密性が高く、違法行為に関する情報が漏れることはまずありません。そこで、ハッカーたちに話を聞くために2人の記者が潜入調査を開始。Beaufort Intelligenceという偽の企業調査会社を作り、引退したばかりのイギリスの諜報員を装ってハッカーに接触しました。

諜報員を装った理由は、記者たちが「イギリスの諜報員がハッカーを盛んに雇っている」という事実をつかんでいたためです。記者たちがインドにいるハッカーと思われる人物に「顧客のターゲットに関する情報収集に協力してくれるサイバー調査員を募集している」というメッセージを送ったところ、見事に引っかかり、実際に面と向かって話し合うことになったそうです。

最初に返信してきたハッカーは「Mahendra Singh」と名乗る男でした。男のLinkedInのプロフィールページには「Androidハッキング」「携帯電話監視」「電子メール追跡・侵入」といったスキルが堂々と掲載されていたとのこと。

インド・デリーの郊外にあるホテル「リーラ・パレス」で記者と接触したSinghは、まず自分が偽名を使っていることを認め、実はテジ・シン・ラトールという名前であることを明らかにします。この後、自分が手がけた数多くのハッキングについて告白を始めました。

まず、ラトール氏は自分がハッカーになった経緯を説明しました。ラトール氏はインドのコーターにあるラジャスタン工科大学で情報技術を学びながら、「倫理的ハッキング」コースに転向。ラトール氏は「新興産業であることを認識したから転向した」と話したそうです。2014年に首席で卒業した後、ラトール氏はインド北西部の都市アムリトサルに拠点を置くサイバーセキュリティ企業に就職しましたが、そこで上司からある秘密を打ち明けられたといいます。

ラトール氏の上司は「コンピュータの『攻撃的な仕事』は、システムを守る『防御的な仕事』よりもずっと給料がいい」と話したそうです。そこで、ラトール氏は独立し、LinkedInで企業の情報システム部門に自分のハッキング技術を売り込みに行きます。その結果、ラトール氏はは痴情のもつれや企業スパイ、果ては殺人の世界へと足を踏み入れることになります。

ラトール氏の最初の仕事は、アメリカ・ニュージャージー州のワインメーカーに勤務する女性だったといいます。そのワインメーカーは、ラトール氏に夫のメールをハッキングして、離婚する前に夫の経済状況を調べてほしいと言ってきたとのこと。

特に儲かったのはベルギーの馬術家から「ドイツにいる裕福な厩務(きゅうむ)員をハッキングしてほしい」と依頼されたことでした。ラトール氏は「ベルギーのクライアントには、たった1つのメールアカウントへの侵入で2万ドル(約300万円)を請求しました」と回想しました。

ラトール氏はカナダで行われた殺人事件にも関与していました。2017年12月、億万長者のバリー・シャーマン氏とその妻のハニー・シャーマン氏がトロントの自宅の屋内プールの横で死んでいるのが発見され、2人は革ベルトで首を絞められていたことが判明しています。

この事件の直後、ラトール氏は私立探偵から連絡を受け、死んだバリー氏のメールアカウントをハッキングするよう依頼されたそうです。このハッキングは失敗したものの、続いてバリー氏のいとこであるケリー・ウィンター氏にもハッキングするよう依頼されたとのこと。依頼を受けてウィンター氏と家族に関する個人情報を明らかにしたラトール氏は、私立探偵から「非常に感銘を受けた」と告げられたそうです。

結局の所、この私立探偵が誰の依頼で動いていたのかは分からなかったようですが、最終的な依頼主はこの事件の容疑者の1人だったのではないかとラトール氏は考えているそうです。この殺人事件は記事作成時点でも解決されていません。

また、ラトール氏は政治家の評判を管理する仕事も請け負っていました。2021年初頭、ラトール氏はイングランドの元保守党議員であるマシュー・ゴードン・バンクス氏のために動くロンドンの企業情報会社から、政治系ブログの恥ずかしい記事を葬り去るよう依頼され、1カ月で1500ポンド(約25万円)を渡されたそうです。

この記事をGoogleのランキングから消すために、ラトール氏は政治家に関する肯定的な内容を1ヶ月間投稿したとのこと。一時はランキングから消えて成功したかのように見えたこの仕事ですが、問題の記事は議員の名前を検索するとすぐに出てくるそうです。なお、TBIJから事実関係について尋ねられたゴードン・バンクス氏は「ラトールという名前は聞いたことがない」と述べ、評判管理会社のサービスを利用したことも否定したとのこと。

数年のうちにラトール氏のハッキングビジネスは大成功を収めました。北米、香港、ルーマニア、ベルギー、スイスの企業と関係を築いたラトール氏の次の手は、ハッキングで儲かるイギリス市場に参入することでした。

ラトール氏は「イギリスの企業は10年以上前からインドのハッカーを雇っており、そのほとんどがハッキング業界の2大企業であるApinとBellTroXの顧客でした」と主張しています。

TBIJとThe Sunday Timesの調査によると、インドの裏社会を利用してメールアカウントやスマートフォンに侵入することは何年も前から広まっている行為であり、イギリスの企業、ジャーナリスト、政治家を標的とした違法なコンピューター・ハッキングがロンドン全域で行われている証拠も見つかっているそうです。インドはコンピューターの不正使用に関する規則の施行が緩いだけでなく、司法権の異なる遠い国で犯罪を行うことで、ハッカーが捕まり起訴されるリスクを大幅に軽減することができるため、イギリスの企業にとって魅力的だったといいます。

イギリスから他国のハッカーへハッキングを依頼することは違法であり、10年以下の懲役に処せられる犯罪です。インドにも同様の法律があり、コンピューターに不法にアクセスすると3年以下の懲役刑となるとのこと。しかし、ハッカーたちはバレることを恐れておらず、ある人は「インドのハッカーが捕まったことがある？1人もいないよ」と笑って話したとのこと。

調査において明らかになったのは、セキュリティ企業が表向きに「ホワイトハット」と呼ばれる正義のハッカーを育成していると見せかけ、その実悪事のために利用している事例があるということでした。

そういった業界の創始者の1つであるApinは10年以上前にデリーに設立された会社です。Apinは新世代の「倫理的」なハッカーを育成し、個人と企業をサイバー攻撃から保護することを目的としていましたが、この会社は世界中の顧客から現金を受け取り、個人をハッキングするという「儲かる副業」を密かに確立していたとされています。顧客にはイギリスに拠点を置く企業内の情報機関も含まれていたといわれていますが、記事作成時点で会社が消滅しており、詳細は不明だとのこと。

違法産業の最前線にいたApinは、2013年にノルウェーのサイバーセキュリティ専門家がハッキング疑惑を暴露したことで活動をやめました。しかし、Apinで訓練された元社員たちが種のように散らばり、各地で新しい会社を立ち上げているそうです。

Apinの後継者の1人が、ハッキング業界の重要なニュープレイヤーとなったBellTroXという会社です。BellTroXは顧客のためにイギリスの弁護士、政府高官、裁判官、環境保護団体など1万人以上のメールアカウントをハッキングした証拠を公表されており、この暴露により欧米の企業情報界がパニックに陥ったと言われています。

また、同社の取締役で以前Apinに勤めていたスミット・グプタ氏は、アメリカの私立探偵2人と大規模なハッキング作戦を展開していたことが発覚し、アメリカ司法省の指名手配リストに記載されています。

記者の呼びかけに応えたもう1人のハッカー、ウトカルシュ・バルガヴァ氏も同じくインドで活動している人物です。バルガヴァ氏はインド国家の命令でトルコ、パキスタン、エジプト、カンボジアの政府に対する一連のサイバー攻撃を開始したことや、数多くのハッキングに使われたスパイウェア「Pegasus」のソースコードを解析し、さまざまな人物相手にハッキングを仕掛けていたと話しました。実際に解析したコードを渡された記者がセキュリティ専門家に確認したところ、確かにPegasusのものであることが確かめられたそうです。このコードにより、ターゲットの位置を常に監視するなどの手段を採れるようになっているそうです。

バルガヴァ氏は違法な活動のために起訴されることは決してないと確信していたようで、インドにおけるコンピューター不正利用防止法の施行について質問されると、「誰もやろうとはしていません。施行者は警察であって、ITのプロではありませんから、こういうことは理解できません」と語ったそうです。

TBIJは「一連のインドのハッカーと連絡を取り、密かに撮影した彼らは、違法な仕事とイギリスにおける地下産業の悪質な影響について公然と話しました。私たちの調査で印象的だったのは、自分たちを善人だと思い込んでいる人たちが、実は悪人であることがあまりにも多いということです」と記しました。