人気ソフトウェアのゼロデイ脆弱性を買い取ると称して数百万ドルをちらつかせるサイバーセキュリティ系スタートアップが、実は極右の陰謀論者かつ前科持ちの2人組によって運営されていることが分かりました。この2人が直近で手掛けていたのは、偽の諜報会社や、偽名を使って運営していたAIベースのロビー活動プラットフォーム(現在は活動停止)でした。
X(旧Twitter)のアカウント「IRIS C2」(@C2IRIS)は、2025年1月の開設以来、4,000人を超えるフォロワーを獲得しており、セキュリティ脆弱性やAI、ソフトウェアのエクスプロイトについて頻繁に投稿しています。IRIS C2は、バージニア州マクリーンに拠点を置き、攻撃的サイバーセキュリティ能力を販売する企業だと自称しています。

IRIS C2のウェブサイトは、優秀な人材を引き寄せるためにエクスプロイトに対して数百万ドル規模の報酬をちらつかせています。
「私たちのビジネスモデルはこうです」と、X上のIRIS C2アカウントのトップに固定された投稿には書かれています。「世界最高の脆弱性研究者やエクスプロイト開発者を惹きつけ、当社に参加してもらう。これは主に、生の才能や非常に高いIQを持つ若手エンジニアを対象にしています。大学の学位や業界経験の有無は問いません」
そのプロフィールにリンクされているウェブサイト——irisc2[.]com——には、同社が複数の求人ポジションを募集していると書かれており、LinkedInページの最近の投稿では、求職者からの応募が殺到していることに興奮した様子がうかがえます。同ウェブサイトは、IRIS C2が「あらゆる主要プラットフォームにわたるゼロデイエクスプロイト、個別のプリミティブ、部分的なエクスプロイトチェーン、完全な攻撃能力」を買い取るビジネスを展開していると主張しており、「報酬は対象、信頼性、運用上の価値に応じて1万ドルから700万ドルの範囲」だとしています。
政府調達関連のポータルサイトg2exchange.comは、irisc2[.]comがバージニア州を拠点とするCalvexa Group LLCという企業によって運営されていると報告しています。Calvexa Groupのウェブサイト——calvexagroup[.]com——にある「お問い合わせ」リンクは、訪問者をirisc2[.]comへ転送する仕組みになっています。G2Exchangeによれば、Calvexa Group LLCは連邦政府の契約業者として登録されているものの、実際に政府と直接契約している案件は見当たらないとのことです。
Calvexa Group LLCの設立登記記録に記載されているバージニア州アーリントンの住所を調べたところ、そこはジャック・バークマン氏(60歳)が所有する物件であることが判明しました。バークマン氏はロビー活動会社Burkman & Associatesの創業者であり、経営パートナーでもあります。IRIS C2に関する質問を投げかけたところ、バークマン氏は長年の協力者である28歳のジェイコブ・ウォール氏への問い合わせを促しました。

ジャック・バークマン氏(左)とジェイコブ・ウォール氏。2020年8月の記者会見にて。画像: Wikipedia。
バークマン氏とウォール氏には、偽の諜報会社を立ち上げ、それを使って著名人に関する虚偽の主張を広めたり、罪をなすりつけたりしてきた因縁の歴史があります。当時のFBI長官ロバート・ミューラー氏に対する捏造された性的暴行の申し立てや、当時インディアナ州サウスベンド市長で民主党の大統領候補だったピート・ブティジェッジ氏に対する同様の申し立てもその一例です。2019年には、バークマン氏とウォール氏が記者会見を開き、エリザベス・ウォーレン上院議員(民主党・マサチューセッツ州選出)と、当時2020年大統領選候補だったカマラ・ハリス氏による不倫について、事実無根の主張をしたこともありました。
2020年の大統領選後、ウォール氏とバークマン氏は、接戦州の住民に数千件のロボコールをかけ、郵便投票に関する虚偽の情報を拡散したとして、複数の州から訴追されました。両氏はデトロイトでの黒人票の抑圧を狙ったロボコール計画を主導したとして、クリーブランドで重罪15件の罪状で起訴され、告訴棄却の申し立てが却下された後、2025年末に執行猶予付きの有罪判決を受けています。
2022年には、ウォール氏とバークマン氏の両者が、オハイオ州において電気通信詐欺の重罪1件について有罪を認め、罰金と執行猶予、そして社会奉仕活動を命じられました。2023年3月には、ニューヨークの民事裁判において、判事がウォール氏とバークマン氏が連邦および州の公民権法に違反したと判断し、両者は100万ドルの和解金を支払うことに合意しています。
2023年6月には、連邦通信委員会(FCC)がウォール氏とバークマン氏に対し、ロボコールキャンペーンを理由に510万ドルの罰金を科しました。これは当時、電話消費者保護法(Telephone Consumer Protection Act)に基づいてFCCが求めた罰金としては過去最高額でした。

ジェイコブ・「ジェイ」・ウォール氏のGitHubアカウント。
ウォール氏は17歳までに複数の投資会社を立ち上げ、2015年にFox Newsに出演して自身の新しいヘッジファンドについて語ったことをきっかけに、「ウォール・オブ・ウォールストリート」というニックネームを得ました。2017年には、アリゾナ州法人委員会がウォール氏とその投資ファンドを証券詐欺14件で告発し、3万5,000ドルの賠償金の支払いを命じています。2019年には、カリフォルニア州で未登録証券の販売に関する重罪4件について有罪を認め、執行猶予2年の判決を受けました。
これまで無名だったセキュリティ脆弱性を扱う市場には、常に研究者、学者、詐欺師、注目集めを狙う人々、そしてサイバー犯罪コミュニティに実際に関わる人々といった、多彩な顔ぶれが存在してきました。しかし、米国政府向けに攻撃的セキュリティサービスを販売する市場は、はるかに慎重な傾向があります。多くの政府契約業者が脆弱性研究者を採用し、新たなソフトウェアエクスプロイトの独占的権利に対価を支払っていますが、IRIS C2ほど無遠慮かつ公然とそれを行っている業者はほかにありません。

Twitter/XアカウントIRISC2(@c2iris)の最近の投稿。
実のところ、KrebsOnSecurityは先月まで、IRIS C2の存在自体を把握していませんでした。あるサイバーセキュリティ関連の地域カンファレンスに参加した人物から、ウォール氏とCalvexa Groupが会場で脆弱性研究の売り込みをしつこく行っていたという話を聞いたのがきっかけです。
KrebsOnSecurityの取材に対し、ウォール氏はバークマン氏がIRIS C2の日常的な運営には関与していないと述べました。ウォール氏によれば、IRIS C2はもともとペネトレーションテスト会社としてスタートしましたが、最近になって政府向けに電話ハッキングサービスを販売する事業へと重点を移したといいます。取材中、ウォール氏は連邦政府との契約に携わっていると何度も口にしましたが、具体的な内容を尋ねると、公に話すことはできないと答えました。
ウォール氏は、コンピューターサイエンスや情報セキュリティに関する正規の教育や訓練を受けたことはなく、この分野に関する知識のほとんどは独学によるものだと述べています。
「技術については誰よりも詳しいと自負しています」とウォール氏は豪語しました。「私はこれまでずっと非常に技術志向で、テクノロジーに深くのめり込んできました。私のことを、度肝を抜くような素晴らしい能力を生み出せる人間だと知っている人もいます」
ウォール氏によれば、セキュリティ研究者たちは「定期的に」独自の脆弱性の発見を同社に持ち込んでくるものの、多くの場合それらの発見はまだ初期段階にとどまっており、十分に作り込まれていないといいます。
「例えば、誰かがスマートフォンのメディアデコーダーに欠陥を見つけたとしましょう」とウォール氏は説明しました。「私たちのもとに届くものの多くは、いわばエクスプロイトの原型のようなもので、アイデアはあっても実行の部分に手を加える必要がある。そのエクスプロイトを安定させ、信頼性を持たせる——それが私たちの仕事です」
ウォール氏は、IRIS C2には約40人の従業員がいると主張していますが、運用上のセキュリティ上の理由から、誰一人としてLinkedInに自身の雇用状況を記載することを許可されていないとも述べています。5月には、IRIS C2のXアカウントの投稿者が、自分の恋人でさえ自分が何をして生計を立てているのか全く知らないと語っていました。しかし、もしIRIS C2にほかにも従業員がいるとすれば、彼らもまた、ウォール氏の全くの捏造だらけの経歴——あるいは彼の本名すら——知らないままである可能性があります。
2024年9月、Politicoは、バークマン氏とウォール氏が、人工知能を使って政治的なロビー活動を支援すると謳っていた、現在は活動を停止している自社企業LobbyMaticから、大手企業がサービスを購入していると吹聴していたと報じました。しかし、Politicoの取材により、両氏が偽名を使って同社を運営していたことが判明しています。報道によれば、ウォール氏は「ジェイ・クライン」、バークマン氏は「ビル・サンダース」という名前を名乗っていたとのことです。Politicoの報道では、LobbyMaticの元従業員のうち2人が、両氏の本当の身元を知った後に退職した一方、ほかの従業員は退職後になって初めてそのことを知ったとされています。
翻訳元: https://krebsonsecurity.com/2026/07/felons-fraudsters-flog-offensive-cybersecurity-startup/