Facebookが未成年者を狙った性犯罪者を捕まえるためにFBIのハッキングに協力していた

by www.thoughtcatalog.com

FacebookなどのSNSは人と人がつながるための便利なツールですが、時には悪意を持った人物がSNSプラットフォームを悪用し、詐欺や脅迫などを行うこともあります。長年にわたってFacebook上で未成年のユーザーを脅迫し、性的な画像やムービーを収集していた性犯罪者を逮捕するため、FacebookがFBIのハッキングに協力していたことが判明しました。

Facebook Helped the FBI Hack a Child Predator - VICE
https://www.vice.com/en_us/article/v7gd9b/facebook-helped-fbi-hack-child-predator-buster-hernandez

◆Facebook上で脅迫を繰り返していた容疑者
カリフォルニア州に住むバスター・ヘルナンデス容疑者は、数年間にわたってチャットアプリや電子メール、Facebookなどを介して未成年者を脅し、嫌がらせをしたり性的な画像やムービーを送るように強要していました。ヘルナンデス容疑者は自身の身元を徹底して隠していたため、FacebookやFBIはその存在を把握していたものの、逮捕につながる住所や本名といった証拠を入手できずにいたそうです。

インターネット上では「ブライアン・キル」などの偽名を使用していたヘルナンデス容疑者は、目をつけた未成年のユーザーに「お前が過去にボーイフレンドへ送った性的な写真を入手した」とメッセージを送り、相手から反応があると自分にも性的な画像やムービーを送るように脅したとのこと。「もし送らなければ、お前の性的な画像を家族や友人に送る」というのがヘルナンデス容疑者の脅し文句でしたが、実際にヘルナンデス容疑者は被害者の性的な画像を持っていたわけではなく、最初の脅しは単なるブラフでした。

しかし、報復を恐れた被害者たちから性的な画像やムービーが送られると、今度はその画像を脅迫材料として数カ月～数年にわたってヘルナンデス容疑者は脅迫を繰り返したそうです。時に脅迫の内容は「お前をレイプして殺す」「お前の学校で大量虐殺を起こす」といったものにおよび、中には「お前が自殺したら追悼サイトを作って性的な画像をアップする」というものまであったとのこと。ヘルナンデス容疑者によって脅されていた被害者は数十人にも及びます。

同時にヘルナンデス容疑者は、「自分はこれまで警察に捕まえられていない」点をアピールし、たとえ法執行機関に訴えても何の解決にはならないとも主張していました。ヘルナンデス容疑者は「警察は俺の手がかりを持っていない。警察は役に立たない」というメッセージを被害者に送っており、実際にFBIは2017年に逮捕するまでヘルナンデス容疑者の身元を特定することもできていませんでした。

◆身元特定の失敗
ヘルナンデス容疑者が使っていたのは「Tails」というプライバシーと匿名性を保護することに特化したOSであり、Tailsを使って匿名化ソフトウェアのTorを実行していました。この方法により、ヘルナンデス容疑者のインターネットトラフィックは自動で暗号化され、本当のIPアドレスを隠していたとのこと。

なお、Tails自体は悪意のある犯罪者による利用を目的としたものではなく、警察や政府による監視にさらされているジャーナリストや政治活動家などに広く使われているOSです。Tailsの広報担当者は、「3万人以上の活動家・ジャーナリスト・DVの被害者・プライバシーを気にする市民によってTailsが使用されています」とコメントしています。

Facebook内でもヘルナンデス容疑者の存在は知られており、従業員らはヘルナンデス容疑者を「これまでにFacebookを利用した最悪の犯罪者」と見なしていました。Motherboardが接触したFacebookの従業員や元従業員によると、Facebookはヘルナンデス容疑者を追跡する専門の従業員を割り当てており、2年間にわたって新たなアカウントの開設や未成年者への接触を監視していたそうです。ヘルナンデス容疑者が作ったと思われるアカウントや不審な動きを検出する機械学習アルゴリズムを作成し、偽名のアカウントとヘルナンデス容疑者を結びつけるといった作業も行われていたとのこと。しかし、Tailsの匿名化を破ることはできず、身元の特定には至りませんでした。

また、FBIもヘルナンデス容疑者に関する捜査を行っており、ハッキングでヘルナンデス容疑者の匿名化を解除する試みも実施されましたが、FBIのハッキングツールではTailsの暗号化を解除できなかったとのこと。そして、Facebookのセキュリティチームはこれまでのやり方ではヘルナンデス容疑者を追い詰められないと理解し、FBIの捜査チームもこの事件の解決にはFacebookの助けが必要だと結論付けたとみられています。

◆ハッキングツールの開発、逮捕
Facebookがヘルナンデス容疑者の身元を明らかにするために取った行動とは、「数千万円もの金額でサイバーコンサルティング会社を雇い、Tailsのハッキングツールを開発する」というものでした。Motherboardに証言したFacebookの関係者によると、コンサルティング会社はFacebookのエンジニアチームと協力してTailsのエンジニアがまだ発見していないゼロデイ脆弱性を発見し、ムービーを再生するプレイヤーの脆弱性を突いたプログラムを作成したとのこと。

このゼロデイ攻撃は、ムービーに短いコードを埋め込むことで、Tails上でムービーを再生したデバイスの正しいIPアドレスが判明するというものだったそうです。こうして開発されたゼロデイ攻撃のプログラムは直接FacebookからFBIに提供されたわけではなく、仲介する人物を通してFBIの手に渡ったそうで、FBIがどれほどFacebookの関与について知っていたのかは不明です。

Facebookの広報担当者は、FBIがヘルナンデス容疑者をハッキングするのを助けるために「セキュリティ専門家」と協力したことを認めました。「私たちが受け入れられる唯一の結果は、バスター・ヘルナンデス容疑者が少女に対して行った悪事の責任を取ることでした。彼が自身の身元を隠す洗練された手段を使用していたため、これはユニークなケースでした。私たちはFBIが正義を執行するのを助けるためにセキュリティ専門家と協力し、通常から外れた手段を用いました」と、広報担当者は述べています。また、ハッキングツールの開発はFacebookではなくサイバーコンサルティング会社によって行われており、法執行機関が日常的にFacebookの援助を期待するようになっては困ることや、それ以外の全ての手段を試みた後でハッキングツールの開発に乗り出したことも説明しました。

最終的にFBIはヘルナンデス容疑者におとり捜査を仕掛け、コードが埋め込まれたムービーをヘルナンデス容疑者に送信し、正しいIPアドレスを入手することに成功。2017年にヘルナンデス容疑者は逮捕され、2020年2月に児童ポルノの作成、強要、未成年者の誘惑、殺害予告・誘拐・傷害などの脅迫といった41件で有罪を認めました。記事作成時点では判決が出ていないものの、ヘルナンデス容疑者はかなり長い年月を刑務所で過ごすことになるとみられています。

◆Facebook社内の反応
Facebookはサイバー犯罪者やネットストーカー、脅迫者、児童の性的搾取をもくろむ人物など、プラットフォーム上で活動する犯罪者らしきユーザーの調査を定期的に行っています。本社やその他のオフィスには、ユーザーレポートを収集して犯罪者を追い詰める専門チームが組織されており、リームの構成員にはFBIや警察で勤務した経験のあるセキュリティ専門家も含まれているとのこと。これらの従業員はプラットフォーム上の犯罪者を捜査する仕事に強い熱意を持っているそうで、専用の会議室にはかつて捜査してすでに逮捕された犯罪者の写真や、逮捕時の新聞の切り抜きなども掲示されていたそうです。

しかし、FacebookがFBIの捜査に協力してハッキングツールを開発したのは今回の事例が初だそうで、いくら犯罪者を逮捕するためとはいえ一連の決定は社内に物議を醸しました。あるFacebook関係者は、「これは犯罪者を追うためにゼロデイ脆弱性を購入する民間企業の先例です。このコンセプトは失敗であり、まるで不完全です」とFacebookの行動を非難しました。

一方で、ある元従業員はMotherboardの取材に対し、ヘルナンデス容疑者の行動はあまりにも攻撃的であり、ハッキングツールの開発はFacebook暗号化のバックドアと違ってヘルナンデス容疑者以外のユーザーに影響を与えなかったと主張。「他の人々へのプライバシーリスクはなく、被害者らへの影響は非常に大きかったため、私にはそれ以外の選択肢があったとは思えません」と述べ、Facebookの決定を支持しました。また、別の元従業員も「Facebookは完全に正しいことをしたと思います。彼らは子どもたちを守るため、大変な努力をしました。悪意のある人物による被害を抑えるため、これほどの時間とリソースを費やしている他の企業はそうそうありません」と述べています。

実際にハッキングツールの開発にGOサインを出したエンジニアやセキュリティ専門家も、当時の決断は間違っていなかったとコメントしています。ある人物は、「Tailsが悪者によって使用されることはわかっていました。犯罪に手を染めている悪人がいて、私たちはそれに対処したかったのです」と述べ、ハッキングツールを開発する以外の選択肢はなかったと主張しました。

◆Facebookの対応への懸念
今回のハッキングツールはFacebook上ではなくTailsを対象としたものでしたが、Tailsの広報担当者は「これまでヘルナンデス容疑者の話を聞いておらず、どの脆弱性が彼の匿名化を解除するために使われたのか知りませんでした」とコメント。一般的に、ゼロデイ脆弱性がセキュリティ専門家によって発見された場合、ソフトウェアに発見された脆弱性を公開する前に開発者へ連絡し、公開前に修正パッチを開発する時間的猶予を与えます。しかし、今回は脆弱性を用いてヘルナンデス容疑者の身元を特定する必要があったため、事前に通達がされなかったとみられています。

また、Motherboardの取材に答えたFacebook関係者らによると、元々はヘルナンデス容疑者の身元を特定した後でTailsの開発チームにゼロデイ脆弱性を報告する予定だったとのこと。しかし、近日中のアップデートで問題のあるコードが削除されることを確認したため、わざわざTailsに通知する必要がないことに気づいたそうです。Tailsの開発チームはゼロデイ脆弱性の存在を認識していたわけではなかったそうですが、アップデートに伴って偶然にも欠陥があるコードが削除されることになった模様。

しかし、ゼロデイ脆弱性を通知せずに犯罪の捜査に役立てたFacebookとFBIの決定について、コロラド大学ロースクールのAmie Stepanovich氏は懸念を示しています。「脆弱性は誰に対しても使用できます。Tailsは犯罪者によって使われるかもしれませんが、同時に政治活動家やジャーナリスト、政府関係者などが悪意のある人物から身を守るためのツールでもあります」と述べ、脆弱性を報告する透明化されたプロセスが必要だと主張しています。

法執行機関によるハッキング問題について注視しているロン・ワイデン上院議員も、FBIが入手したハッキングツールの使用について疑念を投げかけています。「FBIは他の事件にもこのツールを利用しましたか？他の機関とこの脆弱性について共有しましたか？」といった疑問点を挙げ、政府機関によるハッキングツールの使用について、適切なルールを設けることが必要だと訴えました。