FBIは「TorMail」ユーザーをどこまで追っていたか？

February 10, 2016 16:30

by 『Security Affairs』

2013年、米連邦捜査局（FBI）は、当時最も人気のあったダークウェブのメールサービス「TorMail」を停止させた。米国の法執行機関が、最大手のTor秘匿サービスオペレーター企業Freedom Hostingを差し押さえたのに伴い、TorMailのデータベースも押収したのだ。2014年初めに『Wired』が報じたところによると、捜査の目的はTorネットワークの主要なブラックマーケットを管理するサイバー犯罪組織を特定することだったが、これと全く無関係だったにも関わらずデータベースも押収されたという。

FBIはTorネットワークのユーザーの匿名性を暴くために、ハッキングツール「NIT：Network Investigative Technique（ネットワーク調査技術））を使用していたのだとセキュリティ業界は推測した。NITの使用は今年初めにも報道されている。『Motherboard』が報じた裁判所文書によると、FBIはTorネットワークに入って容疑者を特定するのにNITを使用していたようだ。

7月にはニューヨーク州に住む少なくとも2名が、Torネットワーク上の秘匿サービス訪問後にオンラインの児童ポルノ犯罪で起訴されている。

裁判所文書によると、FBIは2014年8月にローンチされた秘匿サービスの掲示板「Playpen」を監視していた。Playpenは主に「児童ポルノの広告と配布」のために使用されていた掲示板だ。FBIは、ビジターの約1300のIPアドレスを発見したという。

『ワシントン・ポスト』は公表した新しいレポートにおいて、FBIは2013年夏頃にTor MailをハッキングしてメールページにNITのコードを注入し、ユーザーの追跡をしようとした、と確言している。もちろん米国政府がこの状況を認めることはないだろう。とは言え、ハッキングされたのは容疑者のアカウントのごく一部だけのようだ。この見解は、FBIがTorMailユーザーに対する大規模な捜査活動を実施していたと考える多数のセキュリティ専門家やプライバシー支持者が誤っているということを意味するわけではない。

Freedom Hostingに対する捜査では、Firefoxのゼロデイを利用してTorの匿名ネットワークの一部ユーザーを特定したようだ。FBIは Freedom Hostingをコントロール下に置き、児童ポルノ活動の捜査を行った。米法執行機関は、 Freedom Hostingを世界一の規模で児童ポルノを促進していると考えていたのだ。

FBIはこの分析のためにFirefoxバージョン17のゼロデイを利用した。このゼロデイは、Torブラウザーの欠陥を突いてトラッキングCookieを埋め込むことで容疑者を識別し、特別な外部サーバーを介してTorユーザーを追跡できるというものだった。

このエクスプロイトは、「Magneto」という変数に隠された小さなWindows実行可能ファイルであるJavaScriptに基づくものであった。MagnetoコードはターゲットのWindowsホストネームとMACアドレスを調べ、バージニアにあるFBIの サーバーにこの情報を送信しターゲットの本当のIPアドレスを教えた。このスクリプトは、データを標準的なHTTP Webリクエストと共にTorネットワーク外部に送り返すものだ。

TorMailは Freedom Hostingが提供するWebサービスの一つだったため、こちらもFBIの捜査下に置かれた。

「今週、捜査に詳しい人々は、FBIがTorMailにNITを使用していたことを認めた。しかし彼らはこう言っている。当局が取得していたのはTorMailの特定のメールアカウントを一覧にした令状で、これはその実際のユーザーが違法な児童ポルノ活動に関係していたと考える妥当な理由があったからだ。このため、なんらかの方法で児童ポルノへの関与を関連付けられたアカウントを持つ容疑者のみに対して、コンピューターを感染させたはずだ」とワシントン・ポストは報じている。

「同様に匿名を条件に話したFBI関係者は、当局はNITの使用が『侵襲的』であり『最も深刻なケース』にのみ運用されるべきであることを認識していた、と言う。彼曰く、FBIはこのツールを『最悪中の最悪な』違反者にだけ使用していたという」（ワシントン・ポスト）

私は調査目的で利用したTorMailの経験を基にレポートする事ができる。私がTorMAilサービスを試したりアクセスしようとすると、エラーページが返ってきた。専門家が実施した解析によると、エラーページにはユーザーを追跡するための悪意のあるエクスプロイトコードが含まれていたようだ。

「何の犯罪行為にも携わっていないTorMailユーザーが多数いることは確かだ」と米国自由人権協会（American Civil Liberties Union）の主任科学技術者Christopher Soghoian氏は『Motherboard』に語った。「実際に政府がTorMailにログインした全ての人にNITを配信していたとすれば、政府は度を超えている」と彼は続けた。

どうすればログインしていないユーザーを区別することができるのか私には分からないが、ログイン情報を入力する前にエラーページが表示されたことを覚えている。ということは、私のアカウントと他の人のアカウントを区別するのは不可能である。

もしかしたら私が正確な操作手順を覚えていないのかもしれないが…。



翻訳：編集部

原文：TorMail hack, FBI surgical operation, or dragnet surveillance?

※本記事は『Security Affairs』の許諾のもと日本向けに翻訳・編集したものです