注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。
二大ダークマーケットの閉鎖により、7月はアンダーグラウンド経済にとって厳しい月となった。AlphaBayが突然オフラインになってからわずか数日後、AlphaBayが法執行機関によって閉鎖されたこと(この時点では予想されていた)だけでなく、Hansaも1ヶ月間にわたり法執行機関によって運営され、利用者にとって致命的な罠と化していたことが判明した。本記事では、この日に至るまでの一連の出来事と、法執行機関がいかにしてこれらのプラットフォームの利用者に対する致命的な罠を仕掛けたかについて考察する。
物語は7月5日UTC午前3時頃、AlphaBayが事前の通知なく突然オフラインになったところから始まる。同日、複数の警察作戦が報告された。カナダでは、GRCとFBIが3件の捜索を実施した。1件はモントリオール、2件はケベック州ドゥー・リヴィエールで行われた。これらの家宅捜索の目的はIT機材の押収であり、少なくとも1台のサーバーが押収されたが、逮捕者は出なかった。TVA Nouvellesはカナダのカミーユ・アベル大尉にインタビューを行い、捜査が進行中であるため詳細は明かせないが、続報があると発表した。一方、別のFBI、DEA、タイ王国警察の合同作戦により、25歳前後のカナダ人男性がバンコクで逮捕されたと報じられた。
さまざまな憶測が飛び交うまでに時間はかからなかった。当初は出口詐欺説とウェブサイトメンテナンス説が有力であった。7月5日、Big_Musclesと名乗るRedditユーザー(AlphaBayのモデレーターとされる)が人々に「落ち着いて辛抱してほしい」と呼びかける一方、AlphaBayから大規模な出金が検知されたと主張する者もいた。実際には、「調査」されたクラスターの一部はKrakenやPoloniexに属するものに過ぎず、出口詐欺とは無関係であった。
その後まもなく、法執行機関による閉鎖説を信じる人が増えていった。この説は7月12日以降さらに広まった。タイで逮捕された26歳のカナダ人アレス・カゼス(Ales CAZES)が、独房でタオルを使って首を吊ったことが報じられたためである。
当然ながら、AlphaBayの利用者は次に大きなマーケットであるHansaに流れた。新規ユーザーの流入は非常に大きく、「AlphaBay難民」の殺到に圧倒されたHansaは7月9日から17日まで新規登録を停止した。我々は7月8日から10日にかけてこのマーケットをクローリングし、取得したデータから以下のチャートを作成した。
Hansaはベンダーのページに(他にも情報があるが)3つの情報を表示していた:登録日、最終接続日、そしてバケーションモードを有効にしている場合はその開始日である。チャートではこれらの日付を以下のように示している:
- 青:その月の新規ベンダー数
- オレンジ:その月に最後に確認されたベンダー数
- 黄色:その月にバケーションモードを有効にしたベンダー数
Hansaには合計2,133人のベンダーがいた。そのうち243人は登録日がなかったが、最終接続日があり、場合によってはバケーション日もあった。バケーション日と最終接続日から、登録日は先のチャートと整合性があると推測できる。グラフからは2つの興味深い点が読み取れる。まず、ほとんどのベンダーがアクティブであったようで、7月に1,289人、6月に171人が確認されている。次に、AlphaBayがオフラインになった後にベンダーがHansaに移行してきたことが確認できる。登録数の増加がどれほど顕著であるかをより正確に把握するため、日別の新規ベンダー数を示すチャートを作成した。
6月の1日あたりの新規ユーザー平均は91人であった。AlphaBayが7月5日に閉鎖され、Hansaが7月9日に登録を停止したため、7月5日から8日までの数値を使用する。この期間の新規ベンダーは137人であった。これにより、AlphaBayが消滅した後、登録数が372%増加したことが算出できる。AlphaBayには40,000人のユーザーがいたと言われており、最後の10日間の登録データが欠けていることを考慮すると、この数字はさらに大きい可能性がある。バイヤーにはプロフィールがないため、その数を推定することはできなかったが、同様の傾向であると推測できる。
大きな驚き
7月20日、Hansaは機能を停止し、DOJによる記者会見(トランスクリプトはこちら)が開催された。誰もが疑っていたことが確認された。AlphaBayは警察の作戦中に閉鎖されたのである。さらに驚くべき発表もあった。6月20日からHansaを管理下に置いていたというのである。
同日、オランダ警察が公式発表を行った。ドイツでHansaマーケットの2人の管理者が逮捕されたことで、リトアニアでホスティングされていたサーバーを掌握し、そこを通過するすべての通信を傍受することができたと説明した。これにより、約50,000件の取引から約10,000件のHansa顧客の住所を取得した。取引数は7月5日以降、1日平均1,000件から8,000件に増加し、状況を制御しようとする当局にとって大きな課題となった。KrebsOnSecurityは警察官へのインタビューを行い、新規登録を停止したのは注文を追跡可能にするためだったと説明を受けた。
残念ながら、Hansaがどのように閉鎖されたかについての情報は多くない。しかし、Bitdefenderがある時点で当局を支援したことは分かっている。また、インターネット上のいくつかの説では、違法な書籍のコピーを配布していたプラットフォームであるlul.toの閉鎖と関連している可能性が示唆されている。その管理者と疑われる2人がドイツで6月21日に逮捕されたようである。
Operation Bayonet、あるいはCazesが自ら墓穴を掘った経緯#
時系列が明らかになったところで、Operation Bayonet(AlphaBayの閉鎖のみを指す)の成功に至った経緯を見てみよう。答えはシンプルだ。OpSecの甘さである。Silk-Road閉鎖の詳細を知っている人ならば、間違いなくデジャヴを感じるだろう。Cazesが逮捕された(主な)理由は、彼が自分のメールアドレスをAlphaBayで使用していたことにある。正確に言えば、2014年にウェルカムメールやパスワードリカバリーなど、ユーザーに送信されたメールの一部のヘッダーに、Cazesの個人メールアドレスPimp_Alex_91@hotmail.comが含まれていた。インターネットは決して忘れないという言葉を聞いたことがあるだろうか。まさにその好例がここにある。Cazesのアドレスが含まれたメールが送信されたのは2014年だが、法執行機関がそれを知ったのは2016年になってからだった。
そこから先、さらなる証拠を見つけることは連邦捜査官にとって困難ではなかった。Cazesは2008年末に有名なフォーラムcommentcamarche.comに質問を投稿しており、そこには名前やメールアドレスだけでなく、ニックネーム「Alpha02」も含まれていた。そう、後にAlphaBayで使用したのと全く同じニックネームである。しかしそれだけではない。このメールアドレスは複数のPayPalアカウントやLinkedInプロフィールにも使用されていた。そしてもうお気づきだろうが、1991はCazesの生まれ年である。
これらの情報はすべて公開されていた(あるいは少なくともある時点では公開されていた)ものであり、少し調べれば誰でも見つけることができた。ここから法執行機関は、各所の令状を取得し、捜索と逮捕を実行するために必要なすべての証拠を集めることができた。
警察がタイにあるAlpha02の自宅を強制捜査した際、彼はコンピューターの前に座り、マーケットをオンラインに復旧させようとしていた。マーケットのフォーラムに管理者としてログインするなど、複数の場所にログインしていた。彼のコンピューターからは、多数のサーバーへのアクセス認証情報、暗号通貨ウォレット、会計書類が記載された複数のテキストファイルが発見され、警察がコインを押収することを可能にした。また、彼が「rawmero」として RooshVというフォーラムで非常に活発に活動しており、自身の富について非常にオープンに語っていたことも判明した。
その他、法執行機関は複数の別荘、ランボルギーニ、ポルシェ・パナメーラ、大量の現金、そして多数のBitcoin、Ethereum、Monero、Zcash(約880万ドル相当)を押収した。コンピューターから発見された書類によると、Cazesは自身の純資産を23,033,975ドルと見積もっていた。そのいずれも合法的な収入源と結び付けることはできなかった。彼は「EBX Technology」という会社を所有し、Bitcoinで財を成した投資家を装っていた。実際には、EBXの銀行口座にはほとんど取引がなかった。おそらくアンティグアの経済市民権を購入すれば自分を守れると考えていたのだろう…大きな間違いであった。
AlphaBayに関するいくつかの数字とダークマーケットの未来
AlphaBayは2015年7月から2017年7月まで運営された。2015年12月まではプレローンチ期間であり、それ以降に一般公開された。この期間中、推定取引量は数億ドルに達する。Cazesの資産額とサービスが徴収した手数料(ベンダーの取引量などに応じて1件あたり2%~4%)に基づくと、資金の流れは575,849,375ドルから1,151,698,750ドルの間と推定できる。もちろんこれは大まかな推定であり、Cazesはスタッフやサーバーへの支払いが必要であったため正確ではない。同時に、投資で利益を得ていた可能性もある。
比較すると、この資金の流れはSilk-Roadの何倍にもなる。Silk-Roadの元管理者は今年、仮釈放なしの終身刑を宣告されている。これがCazesが自殺を決意した理由を説明しているのかもしれない。2017年6月時点で、マーケットには369,000点以上の商品が出品されていた。各種薬物、銃器、クレジットカード番号などが含まれていた。我々がクローリングしたデータによると、Hansaはその全期間を通じて114,728点の商品しかなく、削除済みのものを除くと閉鎖時に購入可能だったのはわずか69,970点であった。これは両マーケット間の大きな差を示している。
二大マーケットが姿を消したことで、ダークマーケットのユーザーはしばらくの間、需要を満たすのに苦労するかもしれない。もちろん、第3位と見られるDream Marketをはじめ、他のダークマーケットは存在し、95,341点の商品が出品されている。しかし、一部のユーザーが持っていたダークマーケットの匿名性に対する盲目的な信頼は、今やかなり揺らいでいるだろう。また、Dream Marketは一部のユーザーから警察に侵入されているのではないかと疑われている。JavaScriptファイルのデバッグコードにIPアドレスが存在するためである。
さらに、法執行機関は記者会見でこれらのプラットフォームに対する宣戦布告を行った:
隠れることはできない。我々はあなたを見つける。組織とネットワークを解体し、起訴する。
狩りは始まった。迫りくる逮捕の波は、犯罪者たちにとって事態をさらに悪化させるだろう。それでも、新たなソリューションや主要マーケットが登場し、犯罪者たちはいずれビジネスを続けるかもしれない。いずれにせよ、今後数ヶ月は興味深いものになるだろう。