想像してみてください――タンパ出身の17歳の少年が、ノートパソコンとスマホだけで、文字どおりTwitterを何時間も止めてしまったのです。高度なマルウェアもありません。ゼロデイエクスプロイトもありません。あるのは、純粋なソーシャルエンジニアリングだけで、世界でもっとも頭のいいテック企業のいくつかを騙したのです。これがGraham Ivan Clarkの物語で、正直、いまでも信じられません。
数分以内に、$110,000以上のBitcoinがハッカーのウォレットに着金しました。数時間のうちに、Twitterはまさに核のように事態を悪化させ、世界中のすべての認証済みアカウントをロックダウンしました――しかも、これは文字どおりこれまでに一度も起きたことがありませんでした。そして、このすべての黒幕は?エリートのロシアのハッキング・シンジケートでもありません。何年も経験を積んだ地下室暮らしのサイバー犯罪者でもありません。お金のない10代の少年、Graham Ivan Clarkただ一人でした。
FBIは、IPログ、Discordのメッセージ、SIMのデータを使って2週間でGraham Ivan Clarkを捕まえました。彼は30件の重罪カウントに直面し、さらに最長で210年の禁錮の可能性もありました。ですが、システムは彼に取引を持ちかけました。未成年だったため、彼は少年収容施設でわずか3年、さらに保護観察として3年だけを務めたのです。彼が世界をハックしたのは17歳のとき。自由の身になったのは20歳のときでした。
ここがポイントです――今日は彼は出所していて、裕福で、事実上“手が届かない”存在です。X (formerly Twitter) は、Elon Muskのもとで暗号資産の詐欺が毎日あふれています。Graham Ivan Clarkを金持ちにしたのとまったく同じ詐欺です。いまも何百万人もの人に通用しているのとまったく同じ心理です。
想像してみてください――タンパ出身の17歳の少年が、ノートパソコンとスマホだけで、文字どおりTwitterを何時間も止めてしまったのです。高度なマルウェアもありません。ゼロデイエクスプロイトもありません。あるのは、純粋なソーシャルエンジニアリングだけで、世界でもっとも頭のいいテック企業のいくつかを騙したのです。これがGraham Ivan Clarkの物語で、正直、いまでも信じられません。
さかのぼって、2020年7月15日を振り返ってみましょう。あなたがTwitterをスクロールしていると、突然、Elon Musk、Obama、Bezos、Apple、Biden――つまり重要な認証済みアカウントが、ほぼすべて同じ内容を投稿しているのに気づきます。「BTCで$1,000送ってくれたら、$2,000返すよ」。最初は冗談だと思いますよね?でもすぐに分かるのです……これは冗談ではない。Twitterは実際に侵害されています。このプラットフォームは、近づくべきではない誰かの手に渡っているのです。
数分以内に、$110,000以上のBitcoinがハッカーのウォレットに着金しました。数時間のうちに、Twitterはまさに核のように事態を悪化させ、世界中のすべての認証済みアカウントをロックダウンしました――しかも、これは文字どおりこれまでに一度も起きたことがありませんでした。そして、このすべての黒幕は?エリートのロシアのハッキング・シンジケートでもありません。何年も経験を積んだ地下室暮らしのサイバー犯罪者でもありません。お金のない10代の少年、Graham Ivan Clarkただ一人でした。
でも、この話が本当に面白いのはここからです。Clarkは、いわゆる伝統的な意味で“ハッカーになりたい”と思って育ったわけではありません。彼はフロリダの崩れた家庭で育った子で、お金もなく、現実的な将来の見込みもほとんどありませんでした。彼は小さく始めました――Minecraftで詐欺をして、人と仲良くなり、ゲーム内アイテムを奪い、相手を放置していくのです。YouTuberが彼を暴こうとすると、彼は腹いせでその人たちのチャンネルをハックします。15歳の時点で、盗まれたソーシャルメディアのアカウントを取引する悪名高い地下フォーラム、OGUsersにまで深く入り込んでいました。ですが、ポイントは――彼はコードを書いていなかったということです。人を操ることが、ただただ非常に、非常に上手かったのです。
そして彼はSIMスワッピングを見つけます。基本的に、電話会社の従業員に誰かの番号を、あなたが操作できる端末へ移すよう説得します。そうすれば、その人のメール、暗号資産ウォレット、銀行口座――すべてを手にできます。彼の被害者の1人は、ベンチャーキャピタリストのGreg Bennettでした。Clarkは彼から$1 millionドル相当のBitcoinを引き出しました。Bennettが交渉しようとすると、返答は冷酷でした。「払え。さもないと家族を攻撃する。」
この金でGraham Ivan Clarkは無謀になりました。彼は、自分の“ハッカー仲間”自身をだまし始めます。仲間は彼の身元を晒し、彼の家に押しかけました。彼のオフラインの生活も崩れていきました――ドラッグ、ギャングとのつながり、混乱。ある取引がこじれて、友人が撃たれました。彼は無実だと主張し、それでもどういうわけかまた自由の身になったのです。2019年には警察が彼のアパートを襲撃し、400 BTC(当時ほぼ$4 million)を見つけました。彼は「事件を終わらせる」ために$1 millionドルを返し、そして未成年だったため、残りは法的に手元に残せました。彼は一度、システムに勝ってしまったのです。
しかし、彼は終わっていませんでした。2020年には、18歳になる前の最終目標がとてつもなく野心的でした。Twitterそのものをハックすることです。COVIDのロックダウン期間で、Twitterの従業員は在宅勤務をしていて、個人端末からリモートでログインしていました。完璧な機会です。Clarkともう一人の10代は、社内の技術サポートを装って従業員に電話し、ログイン認証情報をリセットする必要があると言い、偽の企業ログインページを送信しました。数十人がそれに引っかかりました。彼らはTwitterの社内の階層をどんどん登っていき、ついに見つけます――プラットフォーム上の任意のパスワードをリセットできる「God mode(神モード)」アカウント。すると突然、2人の10代が、世界で最も強力なアカウント130件を支配することになったのです。
7月15日午後8時、ツイートが公開されました。インターネットは凍りつきました。市場が崩壊してもおかしくない状況でした。偽の戦争警報が出される可能性もあります。何十億ドルも盗まれる可能性もありました。ですが実際にやったのは――Bitcoinを“稼ぐ”ことだけでした。彼らが本当に狙っていたのは、金ではありません。世界最大の拡声器を自分たちで操れることを証明することだったのです。
FBIは、IPログ、Discordのメッセージ、SIMのデータを使って2週間でGraham Ivan Clarkを捕まえました。彼は30件の重罪カウントに直面し、さらに最長で210年の禁錮の可能性もありました。ですが、システムは彼に取引を持ちかけました。未成年だったため、彼は少年収容施設でわずか3年、さらに保護観察として3年だけを務めたのです。彼が世界をハックしたのは17歳のとき。自由の身になったのは20歳のときでした。
ここがポイントです――今日は彼は出所していて、裕福で、事実上“手が届かない”存在です。X (formerly Twitter) は、Elon Muskのもとで暗号資産の詐欺が毎日あふれています。Graham Ivan Clarkを金持ちにしたのとまったく同じ詐欺です。いまも何百万人もの人に通用しているのとまったく同じ心理です。
本当の教訓は何でしょうか?――こいつらはシステムをハックするのではなく、人をハックするのです。ソーシャルエンジニアリングは技術力の問題ではありません。恐れ、強欲、そして信頼を理解することがすべてです。緊急性を決して信じないでください。認証情報は絶対に共有しないこと。認証済みアカウントが安全だと決めつけないでください。ログインする前に必ずURLを確認してください。だって本音を言えば――システムを壊さなくても、その運営側の人間を騙せるなら、十分だからです。