活動停止のお知らせ

Twitterでも書いたように年内でSh1ttyKidsとしての活動を停止します

理由は特にありません。

私はもっとダークウェブについてたくさんの人に知ってもらえるようにとこの手の活動とブログの更新を行ってきましたがもうその必要性はなさそうなので活動を停止します。これからも私ではない誰かが闇に光を照らしてくれる事でしょう。短い間でしたがありがとうございました。

 

追記(12/26) :

決して身元がバレたとかそう言うことではないということだけはここに書いておきます。

“盗んだカネは1億円超”ダークウェブの大物詐欺師に話を聞く

※この記事は以下の記事の翻訳です。

www.deepdotweb.com

-

 ダークウェブ上に存在するサイトで世界最大だったAlphaBay(以下AB)、今年7月5日に閉鎖されるまでに会員数は40万人を誇っていました。管理人はカナダ人のアレクサンダー・カーゼス、タイで逮捕され独房で自尽しました。しかし、ABにおいてその人気を利用し影でフィッシング詐欺を行うPhishKingzという人物がいました。彼もまた有名でTradeRouteやその他のダークウェブ上にあるウェブサイトを標的に攻撃などを行いニュースにもなっています。

 今回はDeepDotWeb(ダークウェブをまとめている人気のニュースサイト)がPhishKingzに対してインタビューを行い記事になっていたのでそれを翻訳しました。

-

あなたは誰ですか?そして何を行なっていますか?

こんにちは私はPhishKingzです。フィッシング詐欺でダークウェブを支配しています。今からPGP署名を見せます。

f:id:Sh1ttyKids:20171217092322p:plain

あなたはどのような理由から自身をダークウェブの支配者だと思っていますか?私は他にも色々な方法で詐欺を行う詐欺師をたくさん見てきましたが。

私はABを標的にし、フィッシング詐欺でたくさんのアカウントを盗みました。昨年ABで行なったフィッシング詐欺だけで100万ドルもの収益がありました。

私はよく知られたベンダーですが名前の公開は控えさせてもらいます。しかし私の作ったフィッシング詐欺のためのリンクはよく知られていますので見せます。

f:id:Sh1ttyKids:20171217093239p:plain

f:id:Sh1ttyKids:20171217093254p:plain

あなたが用いる手法は何ですか?サイトを丸パクリするクローニングですか?偽のログインページによるものですか?もしくはその他?

私は基本的にクローニングを用いています。クローニングでそっくりのサイトを作成し、引っかかった人が入力したニーモニックコードやPGP秘密鍵、PINコードなど様々な情報を同期し搾取することができます。

Onion Cloner*1を使いましたか?それはすぐにクローンできますか?もう一つ質問すると、BTCのデポジットアドレスは変化させていますか?

クローニングにはGarlic Softwareを使いました。BTCのデポジットアドレスの移動に関してはミキシングサービスを使っています。

f:id:Sh1ttyKids:20171217093422p:plain

私はLocalBitcoinsにトータルで約500BTC持っています。このアカウントは1年と2ヶ月前に作成したもので、全てフィッシング詐欺により得たものです。cryptopay.meのアカウントにも過去6ヵ月で得た400,000ポンド以上の価値を持ったBitcoinが入っています。

どのようにしてフィッシング用のリンクに誘導していますか?

私はフィッシングを掲示板から開始しています。以下の画像を見て下さい。新しくメンバー登録がされた瞬間、その新メンバーに登録時の認証メールを偽ってフィッシング用リンクを送るコードを入れておきます。

f:id:Sh1ttyKids:20171217093531p:plain

この情報はとても面白いです。

確かにそうです。たまに膨大な量のBitcoinを送ってくる”バカ”がいると笑いを堪えきれません。

どうやって誰がどれ位預金をしたという情報を確認していますか?後、どのように誰にも気付かれないスピードで資金を移動させているんですか?

私はブックマークに”blockchain[.]info/address/hhhhh”を追加し、20分おきに最新の情報を確認しています。

それを手動で取得していますか?もしくは自動化スクリプトを用いて預金情報を取得していますか?

私はボットを用いて預金を引き出していましたが、ABは一週間ごとに更新していたのでそれに合わせてメンテナンスをするのが大変でした。ABの管理人はボットに対処する為に抜け道を締め、captchaを更新していたのはさすがだなと思いました。

つまり、"預金をし、キックアウトをされた"という旨のメッセージ、またはクレームの全てはあなたからだったという事ですか?

はい、それら全てです。時々自分の手柄を自慢する為に大きなフォーラムに行くことがあります。時々、私のやった事なのに、あたかも自分達の手柄として横取りする管理者とモデレーターが嫌いでした。ある時は、フィッシング詐欺をしている私のために27人の人が働いていたこともあったんですよ。

ABが無くなった後はどこを標的としていますか?

ABが閉鎖した後は、Dream Marketに移り、新しいフィッシングサイトを立ち上げて、既に4BTCも儲けました。信頼を得ていたABの頃の多くの古いアカウントは移動し、現在Dreamで活動を行なっています。それらは活発に活動を行なっています。

一連のフィッシング詐欺を止めるように管理人から何か連絡があった事はありますか?もしくは管理人があなたを止めるために何らかの手法で攻撃をしてきましたか?例えば、DDoS攻撃とかで。

はい、しかしそれは効果がありませんでした。管理人は本当に顧客のことを気にしていませんでした。顧客の問い合わせに対してサポートチケットを開くだけでした。BM(Big Muscles - ABモデレーター)は特に馬鹿だった。私が既に預金をフィッシングしたことを知ってたのにも関わらず、ニーモニックフレーズを提供すれば、彼の持っている資金のうちの50%を私に送金してきたのです。

人々のお金を盗む事に対して罪悪感はないですか?

悪いと感じることもある。しかし、私はフィッシング詐欺によって釣られた彼らが、このような場所で詐欺にかからないように教えてやっていると思っています。彼らは私がサイバー犯罪者を摘発しようとしている連邦捜査官ではなかった事だけで安心すべきだ。

笑、なんかしょうもない話ですね。

確かにそうかもしれないけど、私なりに私のやっている事は好きでした。もう二度とABのようなマーケットは二度と現れないでしょう。ABはそこら中に穴だらけだったけど、良い場所だった。閉鎖された時は涙しました。私はこれまで、ABだけしかフィッシング詐欺をした事が無い。他の場所ではやってないんですよ。

あなたのした事が本当に正しかったかどうかは、時間が経てばわかる事でしょう。あなたは私達のユーザーのためにもフィッシング詐欺を行っていますか?もしくは、マーケットに近いHidden Service/Clearnetのウェブサイトにも行っていますか?

いいえ、昨日私がDreamに移行するまでABを標的にフィッシング詐欺を行っていたのはABがそこに存在していたからです。なのでABが潰れた今はDreamにいます。

なぜ今回取材を受けてくれましたか?

これに関して確信を持った答えはありませんが、インタビューの機会を偶々得る事ができたので受ける事にしました。また、私はDeepDotWebが本当に好きで長い間使ってきたので、もはや私の一部です。いつも素晴らしい記事があるので、協力できる事はとても名誉な事だと思っています。

ありがとうごさいます!!無料の広告を探している売人以外にインタビューするのはとても新鮮です。

フィッシングはかなり面白いことがあります。私が見つけた事の中にはあなたが知ったらびっくりするものもあるでしょう。何人かは本当に”バカ”でダークウェブにいてはいけないと思う。情報をアップしているベンダーがいれば、それは馬鹿げたことです。

はい、私は経験豊富なこのサイト(DeepDotWeb)のモデレーターとして自分のアドレスとクレジットカード番号を掲示している人を見た時は、これまで経験した恐ろしいことの一つとして証言できるでしょう。

f:id:Sh1ttyKids:20171217221549p:plain

f:id:Sh1ttyKids:20171217221610p:plain

最後に何か話しておきたいことはありますか?

いいえ、しかしありがとう。これでもう充分でしょう。私もそろそろ寝ますので。あなたと話ができてとても良かった。

PhishKingzさん、Bitcoinの管理はくれぐれも注意するようにしてくださいね。不用意にリンクをクリックなんかしたら、私が全部取ってしまいますよ。

-

 ダークウェブというと高度なサイバー犯罪者がいるイメージがとても強いですがPhishKingzの言うようにopsec(身元のセキュリティ)が甘い人もいるようです。不用意にonionアドレスをクロールし収集したリストを作っているサイトなどからそれらのマーケットにアクセスしないようにしましょう。フィッシングサイトである可能性がかなり高いです。DeepDotWebなどに載っているものなどからにしましょう。

-

*1 Onion Cloner...紛らわしい似たようなonionアドレスを生成し、本物のサイトから自動でサイトのデータを取得するものでフィッシング詐欺をする時に利用する。しかし、取得の際にもTorを経由しなければならないので動作が重い。がしかし、本物のサイトからそのままなので見分けがつきにくい。

ダークウェブで実際に薬物を購入している人物への匿名インタビュー

 今回は実際にダークウェブで違法薬物を購入している人物への匿名インタビューという貴重な機会を得ることができました。前回、前々回ともにダークウェブに関して周りから見た情報ばかりを取り上げて来ました。他のニュースサイトなどを見ても同様で、当事者からの情報はとても少なく、どこでどんな違法薬物を購入するのかなどを実際に購入している人物に直接聞く事で良い情報を得られるのではと思いインタビューをお願いしました。私を慕ってくれているハッカーを通じてこの人物を知りました。改めてここにインタビューにお答えいただいた事に感謝を申し上げます。

-

なぜダークウェブで薬を買いますか?

手軽でハイになりたいからだ。

詐欺師と信頼できるベンダーをどのように区別していますか?

EscrowmybitsのようなBitcoinエスクローシステムを利用して詐欺に遭わないようにしている。

ダークウェブでどんな種類の薬を購入しますか?

weedsやcocaine、たまにcrack*1を購入する。

それをどのくらいの頻度で購入していますか?

数日おきか一週間おきくらいの頻度で購入する。

どのマーケット、もしくはショップをメインに利用していますか?

今年の7月に閉鎖されるまではAlphaBayを使っていたが、今はあまり名の知られていないプライベートなベンダーから購入しているね。

特定の人と取引を行なっていますか?もしくは別々の人から購入をしていますか?

通常は同じ人から購入しているよ。

詐欺で騙されたことはありますか?

一度もない。

ダークウェブを使う際に気をつけていることはなんですか?

匿名性の維持と身元のリークの回避だ。

これからもダークウェブで薬を買い続けますか?

はい

ダークウェブ上のサイトにあるIP漏洩を発見し公開する事をどのように考えていますか?

私はそれらに関しては気にしていません。私はプライベートなベンダーを利用しているので彼らの活動が私に影響を与えることはないと思う。

インタビューにお答えいただいてありがとうございました。

-

*1 crack...クラックコカインのことで通常のコカインであればスニッフィング(鼻から吸引)するものであるがクラックコカインは喫煙するものである。 (Wikipedia参照)

ダークウェブについて

 前回まではダークウェブ上のウェブサイトに存在する致命的なミスについての話をしました。ではそもそもダークウェブとは一体何なのでしょうか?、どんな感じなのか?などを書いていきたいと思います。

-

ダークウェブとは

 ダークウェブとは基本的に通常のgoogle検索などの検索に引っかからず、URLを入手できてもすぐにアクセスできないサイト群のことを指します。FireFoxをカスタマイズした専用のTor Browserと呼ばれるソフトウェアを使用することによってアクセスが可能となります。

絶対にアクセスしてはいけない場所なのか?

 メディアは”ダークウェブとは通常我々がいつも見ているようなサイトではなくサーバーの所在が隠された犯罪者の溜まり場のようなものだ”と書いていたりしますが、私は決してそうではないと思います。実際のところどうなのかというと、100%悪い人たちがダークウェブを利用しているわけではありません。言論弾圧を受けている国の人やジャーナリストや活動家、一般の人で大量監視から逃れたいと考えている人などの悪意を持っていない我々となんら変わらない人たちも使っています。

 私は"ある程度のコンピュータに関する知識、リテラシー、覚悟"を持っているならば誰でもアクセスをしても構わないと思っています。まず知識ですが、これはダークウェブにアクセスする際に講じる対策のことです。アンチウイルスソフトを入れておくかSubgraph, Tailsなどの専用のOSを利用してアクセスすることをお勧めします。

https://tails.boum.org/tails.boum.org

subgraph.com

 リテラシーに関しては、無いのであれば掲示板などが存在しても"決して"とは言いませんが書き込まないことをお勧めします。ところで関係ないように思えますが自分語りはいくら技術を利用して身元を隠していても特定される原因になりかねないので気をつけてください。最後に覚悟ですが、ダークウェブで取り扱われているコンテンツはサーフェスウェブで扱われている内容の数百万倍ほど濃いものが多いです。腎臓を売っている売人もいれば向精神薬や銃を売っている売人もいますが、極め付けは掲示板で子供を薬で寝かしつける方法を聞いている人もいます。なぜそんなことを聞くのかは言うまでもありません。それほどまでに濃い内容なので、ある程度気持ちを作ってからアクセスする方が良いでしょう。

違法なサイトしかないのか?

 ここまではサイバー犯罪者のいるところの話をしましたが通常のウェブサイトもあります。前述に軽く書きましたがダークウェブ上では麻薬、児童ポルノ、ハッキング、暗殺などの普段我々が見ることのないコンテンツを多岐に渡って見ることができます。しかし、そのようなサイトばかりではなく、活動家や人権保護団体、メールプロバイダなどのサイトもいくつか見つけられます。例えばProtonMailと呼ばれるメールプロバイダはサーフェスウェブにサイトがありますが、他にダークウェブ上でもアクセスできるようにサイトが作られています。これはProtonMailを検閲しようとしている国家からそこの国に住んでいるユーザーを守るためです。他にも健全なサイトもあるので下記に少しリストを作っておきます。

ダークウェブ上にある普通のサイト

  • protonmail.ch (protonirockerxow[.]onion)
  • blockchain.info (blockchainbdgpzk[.]onion)
  • njal.la (njalladnspotetti[.]onion)
  • nytimes.com (www.nytimes3xbfgragh[.]onion)

ダークウェブ内での犯罪者の動き

 ダークウェブ内の人々の動きはどうなっているのでしょうか。前回、前々回の記事にも出てきたIDC2.0、ElHerbolarioを含めここに記したいと思います。ダークウェブ上ではどんなサイトが存在しているのか大きく分けていくつかあるので下記に示します。

  • Vendor Shop(Elherbolarioはここに属する)
    • 向精神薬専門のShop
    • 大麻専門のShop
    • Fake ID/Passport(※1)専門のShop
    • 盗んだCredit Card専門のShop
    • RDP(※2)専門のShop etc.
  • Dark Net Market/Forum(IDC2.0はここに属する)
    • 薬専門
    • なんでもあり etc.
  • Bitcoin Mixer/Tumbler
  • Hacking Forum

 マーケットではAmazonのように出品者(Vendor)がいて買い手がいます。出品者はサイトの登録時に手数料を取られることがあります。これは詐欺師が入ってこないようにする簡単な防御策です。しかし、認証済み(後述するGramsなどにおいて)であれば割引き、もしくは無料で登録する事が可能であると謳うところもあります。さらに基本的にダークウェブに存在するマーケットの多くは掲示板が付属しています。その掲示板で話し合われる内容というのはマーケットにいる詐欺師に関する情報、サイトに存在するバグ、サイトの管理者からユーザーに対してのアナウンスなど多岐に渡ります。一方、Vendor Shopはどうでしょうか?売り手と買い手が1:多数です。売り手が自分専用の小規模なサイトを構えてそこで販売を行っています。

 現在、Vendor Shopでは専業化が進んでいて銃の専門店や薬の専門店などがあり、中でも取り扱われる種類が細かく分かれています。ユーザーは後述するredditwikiなどで作られたリストの中から自分に合ったShopを見つけてそこで取引を行います。ですが、そのユーザーを騙したい詐欺師もたくさんいます。ではどうやって詐欺師か本物かを判断しているのでしょうか?

 Grams(grams7enufi7jmdl[.]onion)というダークウェブを検索できるGoogleライクのサイトでは薬を売っている売人が詐欺師ではないかを確認できるサービスが付属しています。レビュー機能も付いており、ユーザーはそれを使って詐欺かどうか、質が良いかなどを判断しています。他にもreddit(/r/DarkNetMarkets, /r/onions, /r/deepweb)などの掲示板での他のユーザーの投稿を見て詐欺師かどうかを判断することも可能です。

 このGramsと呼ばれるサイトには他にもBitcoin Mixing Serviceと呼ばれるサービスも付いています。通常、Bitcoinというのは入出金情報が公開されており誰でも検索することが可能です。匿名性が高い仮想通貨とよく言われますが匿名性はほぼ皆無と言っても過言ではないです。なのでBitcoin addressを知っていればBlockchain Explorer(blockchain.info)などでどこからBTCが入金されてその後どこに送られたのか、といった情報を見つけることができます。そこでMixing Serviceは複数のウォレットを経由させたりバラバラに送金を行うことによって追跡できないようにします。これを使い犯罪者は不当に得たお金を当局に追跡されないようにします。しかしこれに関しては何も犯罪者だけが使うのではなく一般の人でプライバシーを気にしているという方も利用するべきだと私は考えています。

 最近になって高い匿名性を主張する仮想通貨が増えてきました。ダークウェブ上で取引をする犯罪者はそれらの仮想通貨を利用しているようです。一部のマーケットで下記の仮想通貨に対応していることを確認しました。代表的なものが3つほどあります。詳細な説明については今回は省略したいと思います。

  • DASH(Darkcoin)
  • Monero
  • Zcash

 Hacking Forumは主に登録制が多いです。ログインをしないと見れなかったり、Invite Onlyと呼ばれる招待制で招待コードがないと会員登録すらできないようなところもあります。このようにして外部からの調査や捜査の手を阻んでいます。さらにVIP会員を設定し、ある一定の額面を支払わないと登録もできないところがあります。そこでは本物のサイバー犯罪者たちがマルウェアや0day、販売用のツールなどに関する情報をやり取りしています。

-

最後に

 私はこれまで犯罪者について書いてきましたが私はこれらのダークウェブと呼ばれている場所は我々一般の人たちのプライバシー保護に非常に多くの良い影響を及ぼしていくものだと思っています。2013年にアメリカ合衆国諜報機関NSAの機密文書を暴露したエドワードスノーデン氏は日本の共同通信のインタビューに対して下記のように述べています。

(共謀罪テロ等準備罪に対して)これは日本における大量監視の始まりであり日本にかつてなかった監視文化が日常となる。 人はよくこう言う「隠し事がなければ怖がることはない」 「監視システムがどれほど侵入してこようと不安に思う必要はない」 「自分は普通の人間だから放っておいてもらえる」

プライバシーとは「隠す」ことではない。 プライバシーとは「守る」ことだ。

開かれた社会、多様性を認める自由な社会を守るということだ。 プライバシーとはかつて「自由」と呼んでいたものだ。 許可なしで行動できる権利のことだ。 どう見られ、どう判断されるかという心配なしに公然と自由に行動できる権利のことだ。

www.youtube.com

 私はスノーデン氏の言う通りだと思います。例えば、我々は普段服を着て生活を営んでいますが、インターネットでは常に隅々まで監視されています。いわば全裸の状態にあると言っても過言ではありません。我々にはそういった監視から逃れる権利くらいはあるはずです。そういった監視から自分を守るためのツールはこの世にたくさんあります。しかし、報道機関はダークウェブの悪い面ばかり記事にしておりダークウェブが悪目立ちしていることがほとんどです。ですから"ダークウェブにアクセスすることはいけないこと"だと考えている人も増えてきていると感じています。Torやその他のプライバシー保護ツールは犯罪者を守るために作られたものではありません。私はこの事実をもっと世の中に広めていきたいと考えています。我々一般人はもっとこの事について議論し話し合うべきだと思います。以下にプライバシー保護ツールに関して詳しく書かれたサイトを載せておきます。

www.privacytools.io

prism-break.org

-

※1: 偽造した身分証明証やパスポートのこと

※2: コンピュータをリモートで操作するためのprotocolである"Remote Desktop Protocol"の略。設定を誤ったコンピュータを乗っ取り販売している

ダークウェブ上で違法に大麻を販売する売人のサイトのIP漏洩を探る

 今回も前回同様Hidden Service(秘匿サービス)を用いてサーバーのIPと所在が隠された、ElHerbolarioと呼ばれる大麻を違法に販売しているVendor Shopのウェブサイトに迫りたいと思います。今回はHidden Serviceの説明を省くので簡単な説明については前回の記事を参照してください。下記にリンクを記しておきます。

sh1ttykids.hateblo.jp

Vendor Shopとは?

 Vendor Shopとは売人が持つ専用の販売サイトです。マーケットとは違い仲介者がいないので詐欺であることもあります。一方マーケットではAmazonのように商取引の安全性を保証する仲介サービス(エスクローサービス)がついていることが多いです。

 Vendor Shopの中でもこのサイトは評価が高いです。長続きしているサイトで、何かありそうだと直感で感じたので調べてみることにしました。

-

実際に調べていく

 今回使用したのは以下のサービスです。

Censysだけですが探すのにあたり他にも直感を使用しました。

サイトの外観、ソースから情報を得る

 まず最初にサイトの外観から何か情報が得られないか確認して見ましょう。

f:id:Sh1ttyKids:20171116142608p:plain

 上記がサイトの外観です。ElHerbolarioという特徴的な文字列を確認できるので一応覚えておきましょう。ところで、なんだかwordpressっぽいですよねー?ここでソースコードを見てみましょう。

f:id:Sh1ttyKids:20171116143240p:plain

 ところどころwp-contentといったパスが入っていることがわかります。これはwordpress特有のものです。他にも(URL)/wp-content/にアクセスを試みてみると何も表示されません。そこで右クリックで[要素を調査]をクリックしてNetworkタブを開き、リロードしてみましょう。

f:id:Sh1ttyKids:20171116143519p:plain

 statusは200です。200というのはリロードした際に送られたリクエストが正常であったという意味です。なので、/wp-content/というフォルダが存在したということになります。これにより完全にwordpressであるということがわかります。なぜこのフォルダについて書いたかというと過去に別の麻薬の売人のサイトで同じようにフォルダのパーミッション設定のミスによりデータベースが流出したためです。

他にも私がよく確認する設定ミスの検索に使うパスを以下に貼っておきます。

  • /wp-content/
  • /wp-includes/
  • /wp-admin/
  • /wp-content/uploads/
  • /server-status (Apacheのみ)
  • /server-info (Apacheのみ)
  • /cpanel
  • /phpmyadmin
  • /admin
  • /dump
  • /backup

そもそもElHerbolarioとは一体何なのか?

 最初、私はこれが何語なのかもわからないでいました。しかし不自然にEとHが大文字であることに気づき、これが単語の区切りなのではないか?と思いました。そこでgoogle翻訳で”El Herbolario”とは何語でどういう意味なのか調べることにしました。

f:id:Sh1ttyKids:20171116144148p:plain

 スペイン語で薬草主義者という意味であるということがわかりました。このサーバーを構築した人はスペインにゆかりがある人物なのではないかということがわかります。

 次にヘッダーでipが漏れていないかを確認して見ましょう。

f:id:Sh1ttyKids:20171116144448p:plain

 サーバーはnginxでOSはdebianを使っています。IPこそ漏れてはいませんでしたが後に使えそうなので覚えておきましょう。

Censysでさらに何か情報がないか検索をかけてみる

 ここで私が愛用しているCensysの登場です。先ほどでてきたElHerbolarioという特徴的言葉を用いて検索をかけて見ましょう。

f:id:Sh1ttyKids:20171116144639p:plain

 複数件ヒットしました。複数件の結果の中で一番上の”ElHerbolario Personal Shop”というのがあります。気になったのでこのIPにアクセスしてみましょう。

f:id:Sh1ttyKids:20171116144843p:plain

 なんとDDoS攻撃を受けた際に使用するmirrorサーバーであるということがわかりました。さらにサーバーはBlazingfastを使っています。ここは防弾サーバーとして有名です。下記の通り他にもdebianとnginxを使っていることがわかります。元のサーバーと同じです。

f:id:Sh1ttyKids:20171116144953p:plain

ここで情報が多くなってきたので一旦本物とミラーを比較して一致した点をまとめます。

  • OSはDebianを使用(推測:Debianに慣れている?)
  • webサーバーはnginx/1.6.2(推測:上記に同じく使い慣れている可能性)
  • Hidden Service(秘匿サービス)を使用している

その他

  • BlazingFastを使用している
  • スペインにゆかりがある

 ここで一旦考えてもらいたいのは人の癖です。私もそうですが大多数の人はだいたい同じものを使いたがる性質があると思います(そうでない方は私と一度お話ししましょう。twitterなどで話しかけてきてください。) なのでこのwebサイトの管理人も同じように同じようなものを使っているのではと考えたのでcensysで絞り込みをかけていきます。そこで使用するcensysの検索構文を以下に記します。

  • autonomous_system.description.raw: "DOTSI, PT”

    データセンターをblazingfast(DOTSI, PT)のものに設定します。

  • 80.http.get.headers.server: "nginx/1.6.2”

    nginx/1.6.2にバージョンを限定し設定します。

  • metadata.os_description: Debian

    使用しているOSをDebianに限定し設定します。

  • -protocols.raw: "443/https

    httpsを使用していないので”-“をつけてマイナス検索で排除します。

これらをAND検索してみます。以下に検索文を書いておきます。

  • autonomous_system.description.raw: "DOTSI, PT" AND 80.http.get.headers.server: "nginx/1.6.2" AND metadata.os_description: Debian AND -protocols.raw: "443/https"

f:id:Sh1ttyKids:20171116145940p:plain

 23件ほど検索結果が返ってきました。上から順に見ていくと188.209.52[.]177というIPアドレスのところにサイトのタイトルで”Hidden Service Success”というふうに入っていることを確認できます。何やら怪しいですね。実際にこのIPにアクセスしてみると以下のページに飛びました。

f:id:Sh1ttyKids:20171116174354p:plain

" as instalado tu propio servidor!! :D "と表示されています。最後の":D"は顔文字ですがその前の文章は何語なのでしょうか?google翻訳にかけて見ましょう。

f:id:Sh1ttyKids:20171116174608p:plain

なんとスペイン語であるということがわかりました。サイトのページにもHidden Serviceとの記述があるので非常にこのIPである可能性が高いです。このようにして探し当てることができました。

-

 近年Tor上に違法なサイトを構築している人が多くなってきていますが、セキュリティに関していえばそこまで頑丈と言うことではないことが前回と今回の記事でわかるかと思います。あまり技術を持っていない人でも簡単に見つけられるのでみなさんにもやってみてほしいです。このような手法は法律に一切触れることなく扱うことができるのでもっと認知してもらえれば嬉しい限りです。(どこかでハンズオンができればやりたいですね)

 前回IDC2.0について書きましたが、私のTwitterのフォロワーを通じてイタリアの法執行機関の方を紹介してもらい適切に情報を提出することができました。今後も管理者について一緒に追いかけていくつもりです。今回の件に関しても法執行機関に提出をしていきたいと思います。

Italian Darknet CommunityのIP漏洩を探る

    インターネットへの接続の際に匿名化を行う"Tor”には"Hidden Service(秘匿サービス)"という機能があり、他者からサーバのIPや所在を隠すことができます。
    Italian Darknet Community(以下IDC)はこれを用いて構築された「児童ポルノとテロ関連以外のすべてのもの」の議論と販売を許可しているイタリア圏で最大のコミュニティ兼マーケットです。何かありそうだなと思い、暇だったので調べてみました。

 

 -

 

 今回は下記のサービスを利用して調査を行いました。

 これらのサイトはインターネットに接続されている機器を全てスキャンしており、いくらTorを通していても生ipで公開している箇所があればスキャンされて記録として残ります。

 

    調べていく上で最初にサイトのソースコードを確認しました。何か特徴的な部分や文言が含まれていないかを見る為です。以下がそのソースコードです。

f:id:Sh1ttyKids:20171029002313p:plain上記の画像を見てもらうとわかるように非常に単純なサイトで、このサイトは過去におそらく一つの2qrdpvonwwqnic7j[.]onionというアドレスを使用していたようなのですが、今は別の二つのアドレスを使用しておりそちらへの案内として機能しているようです。ここで注目したいのは<title></title>内に”IDC 2.0 | Mirror”といった特徴的な文言が含まれている事です。今回はこれを使ってfofa.soを利用して検索をかけていきましょう。

f:id:Sh1ttyKids:20171029003057p:plain

 

上記が検索結果になります。いくつか同じ文言を含んだサーバーが発見できました。ここで発見したIPのサイトのソースコードと上記の本物のサイトとを比較して見てみましょう。

f:id:Sh1ttyKids:20171029004413p:plain

※fofaの仕様で全体ではなく一部しか写せなかったです。申し訳ありません。

 

 リンクは本物と全く同じなので本物のサイトかフェイクの可能性が高いです。もしフィッシングだとするならば、上記にも記した通りこのサイトはそもそも別の関連サイトに誘導しているだけなので、本物のソースから少し改変を行い偽物のアドレスに差し替えて偽のフィッシングサイトに誘導する必要があります。

    しかし、今回の場合はリンクも本物を使用しておりフィッシングサイトの可能性はかなり低く本物である可能性がかなり高いです。

 さらに下記の画像の通り、ヘッダーを確認して見てもあまり大差ないことがわかります。

f:id:Sh1ttyKids:20171029005416p:plain

f:id:Sh1ttyKids:20171029005445p:plain

 

Shodanを使用してさらに調べる

 ここからはshodan.ioを使用していきます。先ほどfofa.soの検索結果において出てきた176.123.10[.]203というIPアドレスをshodanで検索してみます。

f:id:Sh1ttyKids:20171029005714p:plain

 

 SSHwebサーバーが稼働していることが確認できます。そこで注目したいのがSSH Fingerprintです。このSSH fingerprintというのはSSHの公開鍵から生成されており、もしこの鍵を管理がめんどくさいなどの理由で使い回しを行なっていた場合同じfingerprintのサーバーがいくつも発見できるはずです。では実際にshodanで”5b:89:7a:16:18:bb:75:3d:01:23:b5:65:05:95:ae:8b”を検索にかけてみましょう。

f:id:Sh1ttyKids:20171029010337p:plain

f:id:Sh1ttyKids:20171029010341p:plain

 

 なんと14個も発見することができました。その中でもモルドバのサーバーがおそらくIDCのものと思われます。理由としてはホストネームを見るとalexhost.mdと書いてあり、このalexhostは防弾ホスティングサービスを提供していることで知名度が高いです。

 さらに検索結果の中でもドイツにある85.214.60[.]153というipアドレスのサーバーに注目したいと思います。このサーバーにはPoenitz.TVというサイトがホストされておりFaceBookにはこのサイトのページが公開されています。

https://www.facebook.com/poenitztv/

もしかするとこの中に写っている誰かがIDCの運営者なのではないかと思っています。

 

-

  下記の通り私はこの一連の情報を発見後ツイートしました。するとそれからIDCは度々ダウンしたり元に戻ったりを繰り返し、不安定な状況が続いています。もしかすると外部からなんらかの攻撃を受けている、もしくは法執行機関が何かしらで動いている可能性があります。

 

 私はこの手の情報をどこに提供をすればいいのかわからない状態でどうしようかと思い結局Twitterに投稿しています(影響力のある人に頼んでいたこともある)。もし何らかの形でここが良いよ!という場所等があれば私のメール又はXMPPのcuckoo(at)cock(dot)luか、Twitterの@Sh1ttyKidsにリプ、もしくはDMで教えてもらえたらなと思います。

初めましてSh1ttyKidsです。

初めましてSh1ttyKidsです。初めましてSh1ttyKidsです。初めましてSh1ttyKidsです。初めましてSh1ttyKidsです。初めましてSh1ttyKidsです。初めましてSh1ttyKidsです。初めましてSh1ttyKidsです。初めましてSh1ttyKidsです。