「伝説のハッカー」ケビン・ミトニックと行動を共にしソーシャル・エンジニアリングの数々を仕掛けた知られざる天才「スーザン・サンダー」とは一体何者なのか？

1990年代にFBIの追跡を逃れ続けたケビン・ミトニック氏は「伝説のハッカー」と呼ばれるほどに有名な人物です。しかし、実は当時ミトニック氏と共に電話を使ったハッキング「フリーキング」に傾倒し、ソーシャル・エンジニアリングによってさまざまな事件を起こした女性ハッカーがいました。インターネット上にほとんど情報が流れておらず謎の女性とされている「スーザン・サンダー」という人物について、フリーキングについて研究するクレア・L・エヴァンス氏が独自取材・インタビューした内容をつづっています。

Searching for Susy Thunder
https://www.theverge.com/c/22889425/susy-thunder-headley-hackers-phone-phreakers-claire-evans

長らく映画などのフィクションにおいて「ハッカー」は、暗闇の中で光を発するスクリーン、浮かび上がるバイナリコード、スクリーンを見つめながらキーボードをたたく男性……という描かれ方をしていました。しかし、実際のハッキング行為にはコンピューター上で完結するものだけではなく、現実の人間の行動や心理的なスキを付くソーシャル・エンジニアリングという手法も用いられます。例えば前述のミトニック氏がFBI捜査官の机の引き出しに「奥さん誕生日おめでとう」のメッセージとプレゼントを忍ばせたこともソーシャル・エンジニアリングを利用したもの。また2020年にはTwitter史上最大のハッキング攻撃を起こした17歳の少年が用いた手法が、ソーシャル・エンジニアリングだったことも話題になりました。

Twitter史上最大のハッキング攻撃を仕掛けたとして17歳の青年が逮捕・起訴される - GIGAZINE

「スーザン・サンダー」「スージー・サンダー」として知られる「スーザン・ヘッドリー」氏も、ソーシャル・エンジニアリングに長け、アメリカの秘密基地「エリア51」に侵入したり、俳優のチャーリー・シーンと行動を共にし、共犯者を脱獄させたりと、さまざまな事件を起こしたと知られています。

ミトニック氏は「電話を使ってミサイルを発射させることができる」として恐れられていましたが、この方法を、ミトニック氏が所属したハッカー集団Cyberpunkに所属したサンダー氏もまた理解していたとのこと。サンダー氏は特に「人をコントロールすること」の達人であり、電話交換手・店員・秘書を装いながら、アクセス許可されていない多くの情報にアクセスしました。その能力は「電話を使って誰に対してどんなことでも説得できた」と言われています。

1995年、サンダー氏はハッカー会議のデフコンで基調講演した際に、「人間であることは、それだけで脆弱性です」と述べたとのこと。人は基本的に「権威を尊重する」「役立つ人物だとアピールしがち」「欺瞞を見つけるのが苦手」といった特徴を持ち、その行動は予測可能です。例えばオフィスで「給与情報」というラベルが貼られたUSBを見つければ、それをインストールしたいという誘惑にかられます。ソーシャル・エンジニアリングはこのように人間の行動や心理を逆手に取るものであり、情報を引き出す過程において「女性であること」がアドバンテージになるとサンダー氏は述べました。

サンダー氏がどのような人物なのかは、子ども時代のエピソードからも読み取れます。電話機が普及しだしたのは、サンダー氏が子どもの頃でした。当時のサンダー氏は遠方の人物と会話できる魔法の道具である電話機に夢中になり、電話交換手になることを夢見る少女だったとのこと。しかし、そんなサンダー氏は9歳から11歳の頃、妹と共に母親の恋人から性的虐待に合うという経験をします。

サンダー氏は自分の経験をやや誇張して母親に伝え、母親は警察に相談。当時は今よりも性的な物事がタブー視される時代であり、警察はサンダー氏が嘘をついている可能性も考えてポリグラフの実施を提案しました。「話を誇張したせいでポリグラフで『嘘』と判断され事件がうやむやになるのではないか」と考えたサンダー氏は、図書館に向かい、ポリグラフがどのように機能するのかを調査。ポリグラフが血圧や汗の有無を測定することを理解したサンダー氏は、呼吸をコントロールし、手を握りしめ、足を床に押し付けるなどして血圧をコントロールする方法を学んだそうです。ただ実際にはポリグラフは実施されず、母親の恋人は裁判で有罪となりました。

by United States Forces Iraq | Flickr

その後、母親は別の男性と結婚しますが、その人物もサンダー氏を性的虐待しました。うわさが広まることでサンダー氏は学校でいじめの対象となりましたが、母親には助けてもらえず、14歳で家を出ます。ハリウッドに向かったサンダー氏は、音楽バンドのメンバーと親密な関係になるグルーピーとして活動しつつ、電話受付業の交換手として働きだします。この仕事により、サンダー氏は一般公開されていないレコード会社幹部・マネージャー・ミュージシャンの電話番号にアクセス可能になりました。ミュージシャンが街にやってくると関係者を装って、会場のゲストリストの追加を要求。そして現場におもむき、舞台裏のパスを手に入れたとのこと。サンダー氏はポリグラフの経験から「すべてのシステムは解読可能であること」「ルールを利用してルールを破ること」を学び、ソーシャル・エンジニアリングという言葉を使うことなく、ソーシャル・エンジニアリングの世界へと足を踏み入れたわけです。

またサンダー氏はいわゆる「女王様」の仕事でコンピューター機器を購入する資金を調達。アパートの一室に電話会議を行うための4回線の仕組みを構築しました。フリーキングを行う人々を「フレーカー」と呼び、当時はフレーカー・フォーラムとして「8BBS」と呼ばれるものが存在したとのこと。サンダー氏も8BBSに参加し、その最初の投稿で「私はコンピューターでのフリーキングに不慣れで、システムやアクセスについてあまり知りません。長い間電話でのフリーキングをしていて、電話でのやり方については詳しいです。……ところで、私は身長187cm、体重63kgでブロンド、目は榛色です」とつづりました。

当時の8BBSでのやりとりはインターネット・アーカイブに記録されています。

Full text of "8BBS Archive P1V1"
https://archive.org/stream/8BBSArchiveP1V1/8BBS_Archive_P1V1_djvu.txt

実際にはサンダー氏はロサンゼルスにおけるフリーキングで名をはせているわけではありませんでした。しかし、この投稿は実際にフレーカーとして名高い南カリフォルニア大学の学生だったルイス・デ・ペイン氏の気を引いたとのこと。デ・ペイン氏は電話ネットワークの電子システムを利用して請求書を無効にしたり、無料で飛行機やホテルを予約したり、クレジットスコアを変更したりしていた人物です。

2人は意気投合し、アイデアや道具を共有し始めました。そしてデ・ペイン氏は親友であるフレーカー兼アマチュア無線家のミトニック氏をサンダー氏に引き合わせました。

サンダー氏は、デ・ペイン氏がどのようにフリーキングを行っているのかを間近で見て、これまでに見てきた男性の誰とも異なると感じたとのこと。そして、真面目かつ純粋な人物であるにも関わらず、航空会社や民間企業のコンピューターシステムにアクセスするための情報を収集する「ロサンゼルスで最も危険な人物の1人」であるデ・ペイン氏に恋するようになりました。

3人は夜の街を巡回し、電話会社の外に置かれたゴミ箱からマニュアルやオフィスのメモを拾い、会社の内部用語からアクセスコード、従業員名といった情報の断片を集めていきました。これらを活用することで、より複雑かつ野心的な詐欺を仕掛けることができたそうです。ミトニック氏とデ・ペイン氏の仕掛ける作戦においてサンダー氏が女性の電話交換手を演じると、ターゲットは簡単に信頼し、情報を漏らしました。このように3人は行動を共にしましたが、サンダー氏はミトニック氏と「長年の相互的な秘密保持契約を結んでいる」としてやりとりの詳細を伏せています。

しかしその後、サンダー氏とデ・ペイン氏はたもとを分かつことになります。この決裂について、サンダー氏は「ルイスが別の女性と会っていたから」とデ・ペイン氏の浮気を原因に挙げていますが、デ・ペイン氏は「そもそも単なる知人であり付き合っていなかった」と交際自体を否定しています。サンダー氏はデ・ペイン氏に自分がセックスワーカーであることを明かしていませんでしたが、2人が決裂した後のある夜、デ・ペイン氏はミトニック氏と共にサンダー氏を尾行し、その職場がBDSMの場であることを突き止めました。そして電話でサンダー氏がお店にいることを確認したデ・ペイン氏は、電話口でのサンダー氏の声を録音し、8BBSに流出させました。これを裏切りだと感じたサンダー氏は報復としてデ・ペイン氏の母親に電話をかけるなどして2人は泥沼の争いを繰り広げました。最終的にサンダー氏は、デ・ペイン氏が行ったハッキングの情報をFBIに送るという手段に出ます。

サンダー氏がFBIに情報を送った時、すでにデ・ペイン氏とミトニック氏、そしてマーク・ロス氏というハッカーは当局の捜査対象となっていました。サンダー氏の情報に興味を持った当局は、「情報提供の見返りに刑事免責を」というサンダー氏の要求を飲みます。サンダー氏は自分がデ・ペイン氏の試みには直接的には関わっておらず、「ただ隣で見ていた」と説明しました。このためデ・ペイン氏・ミトニック氏・ロス氏の3人が逮捕・起訴された際のニュースにおいてサンダー氏は「女性共謀者」として触れられるのみとなっています。

サンダー氏はその後、フリーキングの世界から足を洗い、合法的な仕事につき、結婚し、静かに暮らしているとのこと。サンダー氏はメディアへの露出を嫌い、インターネットに自分の痕跡が残らないように気を付けているそうです。インタビューの中で「なぜ私のことを誰も知らないのか、知っていますか？」と尋ねられたエヴァンス氏は「いいえ」と回答。するとサンダー氏は「世界最高のハッカー、最高のフレーカーは、捕まったことがないから誰にも知られていないんです。彼らは刑務所に入ったこともありません。あなたが世界で最高の存在を知らないのは、そういう理由なんです」と語ったそうです。