米国でのロシアのRSOCKSボットネット破壊の令状を読む

ホーム
サイバー犯罪, 情報セキュリティ
米国でのロシアのRSOCKSボットネット破壊の令状を読む

米国でのロシアのRSOCKSボットネット破壊の令状を読む

アメリカのカリフォルニア州南地区で、ロシアのRSOCKSボットネット破壊令状が発令されていて、それが報道されているので、ちょんと分析したいと思います。

丸山さんのブログは、こちら(米国司法省国際的なサイバー作戦によるロシアのボットネットの破壊)です。プレスリリースのオリジナルは、こちらです。プレスリリースについては、丸山さんのブログで全文が公開されています。でもって、令状は、こちらです。

「国際的なサイバー作戦」というタイトルでありますが、結局は、問題となるサーバの所在地であるアメリカ合衆国域内での令状によるテイクダウン措置の事例ということになります。なので、域外のボットネットを米国の令状で、中立化したという案件ではありません。この場合には、他の国の法執行というリザーブされた領域への強制的な影響となるので、干渉禁止原則違反(ないし主権侵害)の問題が発生するのですが、この案件では、従来の(？)アプローチで、問題となる点については、そのような国際関係の問題は含まれないということにとなります。

それでも、米国におけるプロバイダーへの捜索・押収の実際をみることができますので、読んでいきます。

令状の根拠は、連邦刑事訴訟規則41条(c)になります。具体的には、

犯罪の証拠
禁制品、犯罪の果実、または別の方法で犯罪により所持されているもの
犯罪を犯す手段として設計されたか、犯罪に使用しようと意図されたか、使用された財産

に該当します。

被疑事実は、コンスピラシーと、コンピュータ不正行為です。

申立のカバーシートに押印がなされています。

添付書類A

対象の会社(The Constant Company, LLC(d.b.a. Vultr) (“Vultr”))の特定です。

添付書類B

Ⅰ 令状の送達

令状を執行する役員は、The Constant Company, LLC(d.b.a. Vultr) (“Vultr”) が、以下のセクションIIに記載されているコンピュータファイルのカストディアンとして、ファイルを見つけ、取り外し可能な電子ストレージにコピーすることを許可しなければならない。

II. 以下のIPアドレスに関連するアカウントからVultrによって開示される項目。
以下のIPアドレスに関連するアカウントから、指定された期間中にVultrによって開示される項目。
– IPアドレス 95.179.244.201 (from June 14, 2021 19:33:03 UTC to 2022年6月13日05:55:55（UTC)
– IPアドレス 45.63.42.37 (2021年6月14日19時33分03秒UTCから2022年6月13日05時55分55秒UTCまで)

1. 前述のアカウントに関連する以下のようなすべての記録。

a) 名前（加入者名、ユーザー名、アカウント名、および/または表示名を含む)
b) 住所（郵便番号および/または物理的な住所を含む）。
c) 電話番号（アカウントに割り当てられた、またはアカウントに関連するすべての電話番号を含む。)
d) セッションログ（セッション時間および持続時間、インターネットプロトコル（「IP」）アドレス、当該イベントに関連するあらゆるメタデータまたはデバイス情報を含む）。
e) イベントログ（特定のユーザー操作およびイベントを示すアクセスログおよびイベントログを含みます）。
f) サービス情報（アカウントの種類、利用期間、アカウント作成時のインターネットプロトコル（「IP」）アドレス、利用した製品および／またはサービスの種類を含む)
g) 課金情報（アカウントに関連する支払手段および支払元、関連するクレジットカード番号、銀行口座番号、またはその他の支払手段）。
h) 関連アカウント（クッキー、IPアドレス、電話番号、広告識別子、デバイス識別子、および/または回復識別子によって対象アカウントに関連付けられたアカウントを含む)
i) 関連するグループ及び組織（グループ、組織、その他プロバイダ固有の会員制機能に関する記録を含む）。
j) リンクされたアプリケーションとAPIキー（アカウントとの相互作用が許可されたプロバイダ固有の、またはサードパーティのアプリケーションや統合、および対象のアカウントによって生成されたすべてのAPIキーを含む）
k) シングルサインオン(「SSO」)情報(対象アカウントで利用されるオープン認証(「OAuth」)トークン、SSOトークン、その他のプロバイダ固有のトークン、すべての関連情報およびセッションデータ)

2.前述のアカウントに関連するすべてのコンテンツおよび通信。

a) プロフィールコンテンツ（対象アカウントに関連する、ユーザーが作成した詳細および/または画像を含む）。
b) 通知内容（種類、タイムスタンプ、内容、その他すべての関連情報を含む）。
c) 連絡先（連絡先リスト、友人リスト、フォロワーリスト、フォローリスト、その他プロバイダ固有の連絡先リスト、連絡先や個人間の関係を含む)。
d) ファイル（関連するすべてのクラウドストレージアカウントを含む、アカウント内に含まれるすべての画像、動画、文書、その他のファイルを含む)
e) コミュニケーション（電子メールメッセージ、SMSメッセージ、テキストメッセージ、インスタントメッセージ、コメント、ボイスメッセージ等を含む。
e) 通信（電子メール、SMSメッセージ、テキストメッセージ、インスタントメッセージ、コメント、ボイスメッセージおよびプロバイダ固有のプロトコルおよび/またはプロバイダ固有のプロトコルおよび/またはアプリケーションを利用する通信を含みます）。
f) 転送/共有ファイル（対象アカウントで送信、受信、共有されたファイル、または対象アカウントで共有されたファイルを含む)

g) プロバイダのバックアップおよび/またはスナップショット（改訂履歴または同様のものとして維持されているアカウントコンテンツの旧バージョンを含む）。
機能、プロバイダが保持するユーザー削除ファイル、およびアカウントコンテンツを含むすべてのプロバイダのバックアップを含みます。
h) テレメトリおよび/または分析データ（アカウントに関連するデバイスまたはアプリケーションによって生成されたデータを含みます）。
i) 位置情報履歴（デバイスによって生成されたデータを含む）、および
j) デバイスのバックアップ（当該バックアップに関連する追加情報およびメタデータを含む）。

3. 前述のアカウントに関連するすべてのプロバイダー固有の記録、コンテンツ、および通信（以下を含みます）。

a) 専用サーバー、拡張可能なクラウドコンピューティングサービス、仮想プライベートサーバー、カスタムサーバーを含む、上記アカウント情報に関連するVultrアカウントの内容
b) 上記アカウント情報に関連する保存された通信、一時的な通信記録、または関連するメッセージングデータを含むがこれらに限定されない、すべてのデジタル、アナログ、口頭、書面、または視覚的通信。

宣誓供述書

令状には、捜査担当官の宣誓供述書がついています。

この供述書は、IP アドレスの特定部分、捜査官のトレーニングと経験、「相当の理由」の陳述、証拠隠滅の一般的リスク、証拠をえるための従前の試み、電子的保存情報の手続、シールの要求と警告の排除から成り立っています。

興味深いのは、「相当の理由」の陳述と電子的保存情報の手続です。

「相当の理由」の陳述

相当な理由は、「Vultr社の背景」「捜査スキームの概観(6-13)」「被害者の特定(14)」「対象アカウントが(罪を犯したと思慮する)相当の理由と従前の捜索」からなりたちます。

「Vultr社の背景」においては、Vultr社は、319 Clematis Street, Suite 900, West Palm Beach, FL 33401に本社を置き、専用サーバー、クラウドコンピューティングサービス、仮想ストレージソリューション、仮想プライベートサーバー、データセンターソリューションなどのインターネットベースのコンピューティングサービスを提供するマネージドホスティングサービスプロバイダーであることが、述べられています。

「捜査スキームの概観(6-13)」においては、

Vultr社は、対象アカウントを使用して犯罪行為を行っていること、具体的には、ボットネットをホストしていること(7)
本件のボットネットは、プロキシサーバーとして利用されていること(8)
2016年末頃、FBIはRSOCKSと呼ばれるプロキシサービスの調査を開始したこと。RSOCKS は、RSOCKS がリースしたプロキシを提供するのではなく、ハッキングされたデバイスに割り当てられた IP アドレスへのアクセスをクライアントに提供していること、これらのデバイスの所有者は、IP アドレスを使用しインターネットトラフィックを転送するために RSOCKS 運営者に彼らのデバイスにアクセスする権限を与えていないこと(9)
RSOCKS ボットネットは当初、主に Linux ベースのオペレーティングシステムを実行している Internet of Things (“IoT”) デバイスを標的としていたこと、2018年初頭以降、RSOCKSボットネットは、Androidデバイスや従来のコンピュータなど、さらに多くの種類のデバイスを侵害するように拡大していること(10)
RSOCKSプラットフォームを利用しようとするサイバー犯罪者は、Webブラウザーを使用して、Webベースの店頭に解決するRSOCKS.netドメインに移動し、このウェブサイトでは、顧客が日、週、月単位で指定された期間、プロキシのプールへのアクセス権をレンタルするために支払うことができること、RSOCKS プロキシへのアクセス料金は、これまで 2,000 個のプロキシへのアクセスで 1 日 30 ドル、90,000 個のプロキシへのアクセスで 1 日 200 ドルとなっていること(11)
アクセス権を購入すると、顧客はボットネットのC2サーバーの1つ以上に関連するIPアドレスとポートのリストをダウンロードすることができること、顧客は、店頭ウェブサイトRSOCKS.NET、店頭の中国語版であるRSDAILI.COMおよびRSNEW2.CNを含むいくつかの追加ドメインを通じてこの情報を入手すること、対象アカウントは、PROXY.LINK、RSDATAGATE.COM、RS-PROXY.NETなどがあること、ユーザーは、フィッシングメッセージなどの悪意のある電子メールを送信する際、または法執行機関による識別を回避するために侵害されたソーシャルメディアアカウントやその他の技術プラットフォームを利用する際に、この種のプロキシサービスを使用して自身を匿名化することもできること(12)
2017 年初め、RSOCKS のウェブサイトは、顧客が利用できる約 225,000 のプロキシノードを広告しており、FBI捜査官は、覆面購入を通じて、RSOCKSボットネットのバックエンドインフラとその被害者を特定するために、RSOCKSボットネットへのアクセスを取得したこと、2017年1月下旬までに、捜査官は世界中で約75,000台の感染した被害者デバイスを特定し、多数のデバイスがサンディエゴ郡内にあることを突き止めたこと。被害者デバイスの分析を通じて、捜査官は、RSOCKSボットネットがブルートフォース攻撃を行うことで被害者デバイスを侵害することを突き止めた。これまでの調査活動から、調査員は世界中で90万を超えるユニークなIPアドレス／デバイスを特定したこと(13)。

「被害者の特定」

捜査当局は、南カリフォルニアで12人のRSOCKSボットネット被害者に聞き取り調査を行い、そのうち6人はサンディエゴ郡に所在していること、大学、ホテル、テレビスタジオ、電子機器メーカー、および一般企業や個人など、複数の大規模な公共および民間事業体がRSOCKSボットネットの被害者となっていること。接触したすべての被害者は、自分のデバイスへのリモートアクセスについて、許可、同意、または承認を与えていないと調査官に伝えたこと(14)。被害者のうち2人は、以前、インターネット・サービス・プロバイダーから、自分のIPアドレスでボットネットの活動が検出されたと通知を受けていたこと。被害者の 3 か所では、同意を得て、調査官が感染したデバイスを政府が管理するコンピュータ（ハニーポット）と交換したが、3 つともその後、既知の RSOCKS C2 サーバーの IP アドレスによって感染させられていること(15)。

対象アカウントと事前検索に関する確かな理由

捜査官は、RSOCKS.NETドメインのオープンソースクエリを実施し、RSOCKSのストアフロントRSOCKS.NETが、早くも2019年8月2日から対象アカウントによってホストされていることを知ったこと(15)。
2020年7月22日、Michael S. Berg判事は対象アカウントの捜索を許可し（20MJ2946）、捜査官は2020年7月24日にその捜索令状を執行したこと、対象アカウントのデータをフォレンジック分析した結果、ボットネットインフラを運営するRSOCKS関連の追加ドメインおよびサービスとの接続が確認されたこと、捜査官は、対象アカウントの主な目的は、RSOCKSの店頭と関連するボットネットインフラの運用を継続することであることを確認たこと(16)。
対象アカウントのデータをフォレンジック分析した結果、ボットネットに加入している顧客と管理者と思われる人物の両方が RSOCKS ボットネットストアフロントに継続的にアクセスするパターンを示す詳細なアクセスログが確認され、また、ボットネットのインフラを継続的にメンテナンスしていることを示すログファイルを入手することができたこと(17)。
2022年6月13日、捜査官は捜索令状20MJ2946のデータに含まれるドメイン名RSDATAGATE.COMについて追加のオープンソースクエリーを実施し、このドメイン名が対象アカウントにホストされたままであることを確認したこと(18)。
以上から、対象アカウントはRSOCKSストアフロントとその他のボットネットインフラをホストしていると結論付けるに足る十分な理由があると考えること、2020年7月24日以降、ボットネットの運用方法および手段に関する証拠、ボットネットの運用に使用される追加のドメイン名に関する情報、ボットネット運用者による継続的な保守活動の証拠、共謀者の身元など、犯罪行為を継続する証拠が対象アカウントで発見されると判断する相当な理由があると思われること(19)

電子的保存情報の手続

Vultr

Vultr（以下「ISP」）は、マネージドホスティングサービスプロバイダーであること(22)。
バルトの電子通信サービスの加入者は、電子通信の際にスクリーンネーム及び／又はアカウントネームを使用すること(23)、
ISPはISPアカウントの作成時およびその後のアカウントへのアクセスごとに、アカウントにアクセスするコンピュータのIPアドレスを記録していること(24)、

電子的に保存された情報に関する手続き

連邦捜査官と捜査支援要員は、捜査中の犯罪に関連する通信を特定するための訓練と経験を積んでいる。ISPの担当者はそうではない。連邦捜査官がISPの膨大なコンピュータネットワークから関連するアカウントを探し出し、ISPの敷地内でそのアカウントの内容を分析することは不適切で非現実的である。各ISPのビジネスへの影響は、破壊的で深刻である(25)
添付書類Bに記載されているように、対象のISPアカウントから電子メールと添付ファイル、保存されたインスタントメッセージ、保存されたボイスメッセージ、写真、その他のコンテンツを含むすべてのコンテンツを押収する権限を要求します。ISPの事業活動への妨害を最小限にして捜査令状の目的を達成し、アカウントを捜索する権限がない加入者のプライバシーを保護し、この捜査を効果的に進めるために、FBIは、押収対象アカウントのコンテンツ全体のデジタルコピーを作成できる権限をISPに求めるものです。これらのコピーは、私または権限を与えられた連邦捜査官に提供されます。コピーは画像化され、画像は添付書類Bに従って押収の対象となる通信およびその他の電子記録を特定するために分析されます。オリジナルのメディアは、必要に応じて、真正性を確立するために封印され、維持されます(26)。
ISPから提供されるデータの分析には、特別な技術的スキル、機器、およびソフトウェアが必要な場合があり、また、時間がかかる場合があること(例えば、キーワードで検索すると、何千もの「ヒット」が得られることが多く、そのデータが令状の範囲内かどうかを判断するために、審査官がそれぞれの文脈でレビューしなければならないこと、キーワード検索では、スペルミスの単語を捉えたり、コード化された言語の使用を明らかにしたり、スラングや誤植を考慮したりすることはできないこと)、電子記録が外国語で書かれていたり、外国語を使用している場合は、キーワード検索はさらに制限されること、ファイル形式によっては、キーワード検索に適さないものもあること、サービスプロバイダーが割り当てるストレージの容量が増えるにつれて、復元したデータを適切に分析するのにかかる時間は劇的に増加します。インターネットサービスプロバイダは、提供する電子ファイルを必ずしも時系列に整理していないため、レビューにさらに時間がかかり、また、審査官が各ページやレコードをレビューして応答性のある資料を探す必要がある場合があること(27)。
上記を踏まえ、本令状に基づき押収される情報のために回収されたデータを検索するには、様々なデータ分析技術が必要となり、数週間から数ヶ月かかる可能性がありること、キーワードは、得られた結果に基づいて継続的に修正される必要があり、ISPによって提供された記録の組織、形式、言語によっては、審査官は、添付書類Bに応答するかどうかを判断するために各記録を確認する必要があること、ISPの記録の審査を行う担当者は、この法廷への追加申請がなければ、サービス提供者からデータを受領してから90日以内に分析を完了する予定であること(28)。
捜査官の経験と訓練、および私が連絡を取った他のエージェントの経験と訓練に基づき、対象アカウントのユーザーを特定するすべての電子通信、および証拠となるメッセージに時間的に近接して送受信された電子通信を確認し押収することが必要であること(29)。
画像化されたデータのすべてのフォレンジック分析の検索プロトコルは、この令状の範囲内のデータの識別と抽出にのみ向けられること(30)。

—————–