ロイターの編集者がアノニマスに協力していた! 元職場のID、パスワード漏洩

2013.03.16 16:35
  • このエントリーをはてなブックマークに追加

130316_reutersanonymous1.jpg


この人が。

ロイター通信のソーシャルメディアマネジャーのひとり、マシュー・キーズ。彼はハッカー集団アノニマスのメンバーだったとして、メディア企業Tribune社のニュースサイトの書き換えを手助けした罪を問われています。

26歳の若さでロイターのソーシャルメディアマネジャー代理だったキーズは、能弁で目立つ存在でした。彼は昨年、TIME誌の世界トップ140Twitterユーザーに選ばれてもいます。そんな彼はTribune社傘下のKTXL FOX TVに在職中、アノニマスによる同社のサーバーへのハッキングに協力したのです。

ロサンゼルス・タイムズのハッキング

以下は米国法務省からのプレスリリースです。

起訴状によれば、キーズは自分をインターネットチャットフォーラムで元Tribune社員を名乗り、アノニマスのメンバーに同社サーバーのログインIDとパスワードを伝えた。ログイン情報提供後、キーズはアノニマスのメンバーに同社のWebサイトを破壊するようそそのかしたとされる。起訴状では、コンピューターハッカーらのうち少なくともひとりはキーズが提供したログイン情報を使って同社サーバーにログインし、ロサンゼルス・タイムズのWebサイトのニュース書き換えに成功したとしている。

さらに起訴状によれば、ロサンゼルス・タイムズWebサイト書き換えのクレジットに名を連ねたハッカーとキーズは次のようなやりとりをしていた。そのハッカーはTribune社のシステム管理者が彼をロックアウトしたとキーズに伝えた。キーズはハッカーが再度アクセスできるように試み、ハッカーがロサンゼルス・タイムズのページ書き換えに成功したときは「ナイス」と言った。

キーズがしたことは高度なハッキングではなく、単にログイン情報を伝えただけではあります。またその「成果」も、下のようなジョーク記事が30分間表示されただけでした。


130316_reutersanonymous2


このスクリーンショットは、Redditにアップロードされました。起訴状には当時の詳細が書かれています。

2012年12月14日または15日前後、陰謀集団のあるメンバーがngarciaというユーザーネームでロサンゼルス・タイムズのニュース記事を書き換えた。それはTribune社のCMS上で行われ、書き換え後の文章は以下のようなものだった。

Chippy 1337の選出に向けて下院で圧力

下院の民主党リーダー、ステニー・ホイヤー氏は、Chippy 1337(訳注:他のハッカー集団)を上院議長に選出する取引について「非常に良いことだ」とした。

HuffingtonPostが発見した法廷文書にはさらに詳細があります。彼がAESCrackedというハンドルネームで、sharpieと名乗るアノニマスとチャットしていたログです。

sharpie:http://[URL削除]
sharpie:ngarcia使ってディステムに入った
sharpie:システム
AESCracked:w
sharpie:フロントページ全体をChicago Tribuneのレイアウトにした
AESCracked:それ生きてる?
sharpie:でもくそ、あのシステム管理者はできる
sharpie:いや殺られた
sharpie:30分だけ
AESCracked:スクリーンショット?
sharpie:ない
AESCracked:あーあ
sharpie:LA Timesが30分書き換わってたんだよ
AESCracked:またアクセスできるようにする
sharpie:ありがとう


アノニマスとの関係

ただ気になるのは、BuzzFeedのライアン・ブロデリックが指摘しているように、2年前、ハッカー集団の中心人物のひとりだったSabuがキーズをTwitter上で告発したことです。

http://tinyurl.com/mattkeysexposed AESCracked、またの名をマット・キーズは、Tribuneサイトの前プロデューサーだった。LATimes.comの全コントロールをハッカーに明け渡した。
-The Real Sabu (@anonymouSabu) March 22,2011

これは2年前、Sabu本人が逮捕されるほんの数ヵ月前のツイートです。Sabuが関わっているのはこれだけではなく、Atlantic Wireによれば、Sabuを捉えたのと同じ検察官、ベンジャミン・ワグナー氏が現在キーズを追いかけているそうです。つまりSabuが政府との司法取引のためにキーズを差し出したのかもしれません。そしてFBIがキーズからさらに友人の情報を得ようとしていることも考えられます。

ちなみにPoliticoでは、キーズのロイターでの初仕事は興味深いものだったと記しています。

僕のロイターでの最初のブログエントリー:FBIの通話記録漏洩、アノニマスに不利か http://t.co/P1LjZSnW
-Matthew Keys (@TheMatthewKeys) February 3,2012


罪の重さは...

キーズが有罪になれば、懲役最大30年、罰金75万ドル(約7100万円)の刑になります。かなり厳しい量刑です。

米Gizmodoからキーズの携帯電話に電話してみましたが、彼は出ませんでした。

匿名希望のある人物は、起訴のニュースが伝わる直前、キーズとメッセージを交わしたそうです。そのときのGoogle Chatがこちらです。

キーズ:この会社にあとどれだけいられるか、わからない
匿名:何で?
キーズ:あと数日だろう
匿名:?クビ、それともどこか他に行くの?
キーズ:多分クビ
匿名:何でまた
キーズ:わからん。そんな気がするだけ
キーズ:仕事中じゃないときにもっと話そう
匿名:変にならないでね
キーズ:なってないよ

ロイターもキーズの起訴内容に基づいて確認中としています。

法務省によるマシュー・キーズの告訴は認識しております。トムソン・ロイターは、管轄のルールや既製に従います。いかなる法的違反行為、当社の厳しい思想と基準への順守違反は、懲戒処分の対象となります。我々は2010年12月に行われた行為についての起訴状についても精査します。キーズ氏は2012年にロイターに入社しました。調査中はこれ以上のコメントはいたしません。

そんな中、当のキーズは「大丈夫」だと言っています。

僕は大丈夫。みんなが思ったのと同じように思った。Twitterからだ。今晩は休みます。明日は通常営業。
-Matthew Keys (@TheMatthewKeys) March 14,2013


専門家の見方

法務の専門家からもキーズの置かれた状況についてコメントをもらいました。電子フロンティア財団のハンニ・ファカリー氏は次のように語っています。

米Giz:法務省が今回のように起訴するのにどれだけの証拠が必要でしょうか?

ファカリー氏:起訴状から見る限り、それほど多くありません。起訴状に唯一ある証拠は、実際のハック行為以外ではチャットのログだけです。おそらくハッキング元のIPアドレス情報も持っていて、キーズか、密告者にたどりついたのでしょう。でもこの起訴状には要点しか書いてありません。

米Giz:この件を裁判に持って行って、有罪になるでしょうか? 必要な証拠全部なくても起訴できるんでしょうか?

ファカリー氏:検察官は普通、証拠を十分に揃えてから起訴します。(ただし政府はキーズのラップトップを没収しようとしているようなので、他にも探しているものがありそうですが)実際の行為が2年前なので、かなりの期間調査していたと思われます。特に政府が関与しているので、この事件がニューヨークでのSabuの事件と関連していると思われます。

米Giz:今起訴して、情報提供と引き換えに減刑する司法取引に持って行こうとする可能性は?

ファカリー氏:どんな犯罪でもそれはありえますが、今回その可能性は高いです。アノニマスがからんでいるし、協力する証人(Sabu)や、おそらく他の証人もいるためです。

米Giz:他の罪状もあるんでしょうか?

ファカリー氏:起訴状とプレスリリースだけでは、何とも言えません。

米Giz:量刑は現実的にどうなるでしょうか。それぞれ最大10年、25万ドル(約2400円)ですよね。

ファカリー氏:それは損害の規模によります。つまり、タイムズがハッキングからの回復に要したコストです。おそらく、25年とか30年、25万ドルの罰金ということは現実的ではないでしょう。でもコンピューター犯罪取締法では、物理的な被害よりも強いペナルティの枠組みを科しています。カリフォルニア州法では、400ドル以上の損害を出した暴力行為は検察や裁判官の裁量によって重罪にも軽罪にもなりえます。でも、コンピューター犯罪取締法では軽罪にはなりません。カリフォルニアでは重罪に対する最大の刑は3年で、しかもこの量刑を科すためには被告側にそれだけ強い非があることを裁判で証明する必要があります。コンピューター犯罪取締法では最大の刑期は5年です。つまり量刑に不均衡があります。裁判官や検察官がその裁量で判断するからです。実際、連邦法では裁判官が被告に刑を科すときには「犯罪行為の深刻さ」を考慮せねばならないとあり、検察は通常、犯罪がより「深刻」だとして最大の求刑をするのが常です。

さらに政府はキーズのコンピューターとハードドライブを没収しようとしています。ユーザーネームとパスワードの取得、IRCでのコミュニケーションに使われたと思われるものです。これは没収に関する法律を非常に大きく解釈したもので、通常の没収では犯罪そのもので使われた道具、たとえば、銀行強盗で使われた銃など、または犯罪行為の過程で発生したもの、たとえば銀行から盗んだ金で買った車などが対象です。今回政府は、単に誰かとコミュニケーションするためにコンピューターを使ったことだけで電子機器の没収をしてもいいとみなしており、これはかなりの拡大解釈であり、心配です。

法律事務所DeVore & DeMarco LLPのジョセフ・V・デマルコ氏も、検察はかなり確実に勝てるという考えて起訴したのだろうとしています。「一般に検察は、単に誰かから協力を得るためだけに起訴することはありません。彼らは、有罪になると思った人物にしか注意を向けません。」

「協力を得るには、通常3つの条件が必要です。」とデマルコ氏。「まず協力者がその気になるかどうか、そして検察官がそれを望むかどうか、そしてそれが可能かどうかということです。」表面的には、キーズにとってはそれら3つの条件がそろっているように見えますが、実際は彼にとってそれほど司法取引に応じるメリットはないかもしれません。

ファカリー氏と同様、デマルコ氏もコンピューター犯罪取締法の厳格さを指摘します。が、キーズはおそらく多額の罰金は科されないだろうともしています。「量刑は少なくとも経済的損害によって決まります。なのでそれが少なく、たとえば5000ドル、1万ドル(約47万5000円、95万円)であれば、最大の罰金刑にはなりません。ただ裁判所では、どうなるかわかりませんが。」「損害額が小さく、アイデンティティや医療記録の盗用でないなら、初犯ではごく軽い扱いになります。可能性としては執行猶予もありえ、その場合刑はないも同然です。」

あのロイターの記者がアノニマスに協力しているというのも映画みたいな話で驚きですが、パスワード教えただけで何十年、数千ドルという量刑になりえるのも怖いです。これから余罪が出てくるのか、芋づる式に他の協力者も明らかになっていくのか、そしてどんな刑が科されるのか...注目です。


Sam Biddle、Kyle Wagner(原文/miho)

  • このエントリーをはてなブックマークに追加
  • ITリスク学 ―「情報セキュリティ」を超えて―
  • 佐々木 良一,氏田 博士,村瀬 一郎,渡辺 研司,小松 文子,瀬戸 洋一,千葉 寛之,名内 泰蔵,林 紘一郎,原田 要之助,福澤 寧子|共立出版