ロブ・ライト、シニアニュースディレクター、Dark Reading
2025年6月26日
読了時間:3分
出典:Igor Stevanovic(Alamy Stock Photo経由)
サイバー犯罪の闇社会で最も悪名高い人物の一人が当局によって逮捕されました。
米国司法省(DOJ)は昨日、Kai Westを「IntelBroker」というオンラインペルソナの運営者であるとされる複数のハッキング犯罪で起訴しました。イギリス国籍のWestは、2月にフランスで当局に逮捕され、現在アメリカへの身柄引き渡しを待っています。
IntelBrokerは、近年数々の著名な情報漏洩やサイバー攻撃に関与してきたことで知られる、非常に活発なサイバー犯罪者ペルソナです。その一連の攻撃には、2023年3月に発生したDC Health Linkの侵害(オンライン保険マーケットプレイス)が含まれており、これによりIntelBrokerは下院議員の個人識別情報(PII)をダークウェブのマーケットプレイスで販売しました。
2024年には、IntelBrokerはCiscoの公開DevHubポータルにアクセスし、機密データを盗み出して後にダークウェブで販売しました。また、1月にはHewlett Packard Enterpriseから機密データを大量に盗んだと主張しています。
脅威アナリストは、IntelBrokerが攻撃で盗んだデータの量や機密性をしばしば誇張していたと指摘していますが、DOJはこの脅威アクターが数十の組織に影響を与え、被害額は2,500万ドルを超えると述べています。「Kyle Northern」という別名でも知られるWestは、コンピュータ侵入の共謀、ワイヤーフラウド(電信詐欺)の共謀、保護されたコンピュータへの不正アクセスによる情報取得、ワイヤーフラウドで起訴されています。
IntelBrokerの手口
Westに対する公開された起訴状では、2022年末に名前の明かされていないインターネットサービスプロバイダー、2023年には別の米国の通信事業者、2023年3月にはおそらくDC Health Linkである特定されていない地方自治体の医療提供者を侵害し、恐喝したとされています。
IntelBrokerは、BreachForumsという、国際的な法執行機関の標的となっている人気かつ耐性の高いサイバー犯罪マーケットプレイスで、特に悪名高い存在でした。起訴状によると、WestはBreachForumsを頻繁に利用していたサイバー犯罪グループの一員とされ、グループのメンバーは盗んだデータの販売や配布にこのフォーラムを利用していました。IntelBrokerのアカウントはDC Health Link攻撃後にBreachForumsの管理者によってBANされましたが、その後アカウントは復活しました。
実際、起訴状によれば、IntelBrokerのペルソナはWestの投稿によってBreachForumコミュニティ内で大きな影響力を得ていました。2024年8月までに、IntelBrokerはBreachForumsの「オーナー」としてリストされていましたが、Westがサイトをどの程度管理していたのか、またどのような機密情報にアクセスできたのかは不明です。
DOJによると、Westは2023年から2025年の間に盗んだデータを41回販売し、117回にわたり盗んだデータを無料またはフォーラムの「クレジット」と引き換えに提供する投稿を行いました。このクレジットはメンバーのアカウントの格を上げ、より多くの注目やフォーラム機能を提供します。これらの投稿のうち、約16件は盗んだデータに対して具体的な販売価格が設定されており、通常はMonero暗号通貨で支払いが要求され、合計2,467,000ドルにのぼりました。
最終的に、暗号通貨が当局によるIntelBrokerの身元特定の決め手となりました。起訴状によると、当局はCoinbaseアカウントに送金された暗号通貨の支払いを追跡し、それがWestに結びついたとしています。
脅威インテリジェンスベンダーSOCRadarの最高情報セキュリティ責任者(CISO)であるEnsar Seker氏は、IntelBrokerペルソナの運営者とされる人物の逮捕は重要な節目だと述べています。
「この種の法執行機関による措置は、個人の活動だけでなく、アンダーグラウンドフォーラムを支える信頼や自信にも重大な打撃を与えます」とSeker氏はDark Readingにメールで語りました。「IntelBrokerのような人物が正体を明かされると、他のアクターたちは自分たちの匿名性や運用上の安全性に疑問を持ち始めます。その波及効果、すなわち運用のためらい、不信、協力の減少は、重要でありながら過小評価されがちな結果です。」