詐欺:やり方と捕まらない方法――実際にやって捕まらず、いまは別の詐欺師を捕まえている人物による。
アレックス・ホールの職業人生は、道徳的コンパスにおける二度の大きな地磁気逆転によって特徴づけられる。最初は中立から悪へ、次に悪から善へ。ここでは、その原因となった人生の出来事と、その逆転が日常生活にどう影響し、最終的にSiftのトラスト&セーフティ・アーキテクトという現在の地位に至ったのかを語る。
詐欺師ができるまで
自分はハッカーかと問われると、ホールは「現代の意味で言うなら『いいえ』」と答える。だが続けて、「以前は詐欺師だった。多くの人はそれをハッキングの一種だと考える」と付け加えた。私たちは二種類のハッキングを区別することにした。ビジネスプロセスを操作するのが詐欺であり、ビジネスコードを操作するのがコンピュータ・ハッキングだ。
では、何が彼を詐欺師にしたのか。「以前、ドイツの犯罪学者で犯罪心理学者のインタビューを受けたことがある。数時間話したあと、彼は、私が詐欺師になった引き金は若い頃の恋人との別れに根差していると結論づけた」
別れのあと、ホールは酒とパーティーにのめり込み、そして詐欺に出会った。恋愛関係の破局がPTSDを引き起こし、そのPTSDが道徳的コンパスの崩壊を招いた。その後のパーティー三昧が、より好ましくない新しい人々との接点を生み、彼は詐欺という行為について学び始めた。
パーティーシーンは荒れていた。「酒があって、いろいろな種類の薬物が出回っていた。人脈づくりをしながらラスベガス市内を移動して、さまざまなグループと関わった。あるグループからは小切手を詐欺に悪用していると聞き、別のグループからはクレジットカードの話を聞いた。そして誰かが何かを本当にうまくやっていて、リスクなしに利益を得ているのを目にした。そうしてから、誰かがそれをやったときに他にどんなプロセスが動いているのかを確かめるため、プラットフォームを見に行くようになった」
彼は、銀行や小売業者が詐欺師のやっていることに気づいていないはずがないと結論づけた。「詐欺師が捕まえられないというより、捕まっていないだけだった。『自分なりのやり方を見つけよう』と思った――そして実際にそうした。少し洞察を得ていたので、その洞察を土台にして積み上げ、拡張した。捕まらずに生活費を払える、とても儲かる方法がここにあると気づいた」
ADHDの影響
このシリーズに登場する多くのハッカーと同様に、ホールはニューロダイバース――より具体的にはADHDだ。ハッカーであるための必要条件ではないが、確かに助けにはなる。彼のセラピストはまさにそう言ったという。
「彼女はそれを『スパイシー・ブレイン』と呼ぶ。彼女は、ニューロダイバージェントの人は大量の入力を必要とすると言う。外から見ると、その人は散漫で、点から点へと飛び回っているように見える。でも彼女の経験では、この種の『スパイシー・ブレイン』こそが、ニューロダイバージェントの人に多くの変数を同時に保持させ、多くのプロセスを維持させ、可能な計算をすべて走らせることで潜在的な結果を見通せるようにするのだという」
会話の終盤、彼は続けた。「彼女はこう言った。『プロセスの評価と操作は、たくさんの入力を扱い、それを区分けし、目に見えない形で、あるいは抽象的に操作するのが得意なニューロダイバージェントの人には自然にできるから』と。だから、ADHDであることが、詐欺師として成功するうえで寄与した要因だったと思う」
これは私たちがハッカーと話す際によく出てくる共通テーマだ。多くは、全員ではないにせよ、ASD(自閉スペクトラム症。一般にはASDだが、より具体的にはADHDやアスペルガーと診断されている場合もある)と診断されている。ASDはハッカーの前提条件ではないが、彼ら自身によってしばしば「超能力」と表現される。そしてハッキングの直接的な原因条件ではないにせよ、間接的な影響を持ちうる。社会的困難、とりわけアスペルガーに結びつくものは、若者をコンピュータの世界へ、そして境界線上に生きる人々との仮想的な関係へと退避させることがある。
ホールの場合、ADHDとPTSDの双方向の関係に注目する価値がある。ADHDであることは、外傷的出来事の後にPTSDを発症する可能性を高める。ホールはPTSDを通じて詐欺師になり、そのPTSDはADHDによって悪化していた可能性があり、それが彼をより熟達した詐欺師にしたのかもしれない。
詐欺の殿堂(Hall of Fraud)
多くの詐欺と同様に、ホールの手口はアカウント乗っ取り(ATO)から始まった。つまり、有効なユーザー名とパスワードを手に入れることだ。「当時は」と彼は言う。「MFAや他の種類の検証は一般的ではなかったから、有効な認証情報があれば他人のアカウントに簡単にアクセスできた」。しかし彼はダークウェブから認証情報を入手したわけではない。自分に注目が集まりそうなことは何でも避けた。彼の動機は詐欺で利益を得ることだけではなく、詐欺で逮捕されないことだった。だから重要な原則は、匿名であり続けることだった。
「私は10人前後の、とても結束の強いグループ(パーティー時代に得た人脈)を持っていて、作戦の各パートで彼らを頼れた。誰も私の本名を知らなかった。拠点がどこか、どこに住んでいるかも誰も知らない。私は彼らと、こうしたドロップハウスやカジノ、ホテルで会っていた」
根本的には、認証情報を入手し、それをソーシャルエンジニアリングと組み合わせて複数の人格(ペルソナ)を作り、銀行口座を開設し、そうした複数のペルソナ/銀行口座を使って支払いを行う、という流れだった。
「典型的には、詐欺師というとテレビを10台買って定価の50%引きで売るような人を思い浮かべる。詐欺で品物を入手し、それを闇市場でさばく」。しかしそれでは追跡可能な痕跡が残る。彼は、成功する詐欺の鍵は絶対的な匿名性だと信じていた。
「私はダークウェブに関わらなかった。TelegramやSignal、そういったチャンネルにも入らなかった。国際的な詐欺師とも、ラスベガスの外の詐欺師とも協力しなかった」
彼は、現金を得るために詐欺を使うのではなく、架空名義で請求を支払い、自分自身は見えないままでいるほうが、より効率的(かつ安全)だと気づいていた。そしてそれはうまくいった。「タバコを手に入れる方法、ガソリンを手に入れる方法、常にレンタカーの車隊を自由に使えるようにする方法――いつでも2台か3台、複数台を確保していた。ベガスには詐欺で手に入れた家が何軒もあったが、公式には私の名義ではない。賃貸契約で別人名義にしていたが、5軒か6軒の家を使っていた。詐欺を使って、生活に必要なものをすべて手に入れていた。盗品を50%キャッシュバックで換金して、その現金で請求を払うのではなく、詐欺に請求を払わせていたんだ」
うまくいった。彼は一度も捕まらなかった。しかし、二度目の地殻変動のような転機によって道徳的コンパスが正常に戻り、やがて彼はやめた。
戻る道
悪い感情体験が、彼を策略と欺瞞の人生へと転落させた引き金になったのと同じように、良い感情体験が、闇から光へと完全な方向転換を引き起こした。それは娘の誕生だった。「彼女のことを“スーパー”と呼んでいる。彼女は私のスーパーヒーローだから。彼女が生まれたとき、母親と私は話し合った。これからどうする? 計画は? 私は詐欺を即座にやめ、次の数か月で、父親であることが自分にとって本当は何を意味するのかを理解し始めた」と彼は説明した。
「たぶん娘を通じて、彼女が大人になって子ども時代やそれまでの人生を振り返れるようになったとき、私は前向きな形で支えになり、良い影響を与えられる存在である必要があると気づいた。彼女が誇りに思えて、学べる存在――彼女がどれほど力強くなれるかのモデルだ。最終的に、私を普通に戻してくれたのは娘だった」
新しく生まれた娘に残したいレガシーは、成功した詐欺師であることではなかった。だが次はどうするのか?
「もう一度だけ嘘をついた。履歴書でだ。詐欺の経験がたくさんあると書いた。示唆していた種類の経験があったわけではないから、完全な虚偽ではないにせよ――それでも嘘だった。それは認める。でも私は詐欺アナリストとして採用された。3か月ほどで、卸売・小売・ドロップシッピングの3部門を統括する不正対策責任者になった。さらに9か月後には、約240万ドル相当の詐欺を防ぐ能動的なプロセスを特定し、実装した。だから、最初の嘘はあったとしても、給料分は確実に働いた」
その後、COVIDが襲った。彼は解雇され、雇用主は自動化で彼の代替を試みた。「失業給付を使ってDispute Defense Consultingという会社を立ち上げ、主要な不正防止ベンダーと一緒に仕事をした。ウェビナー、ポッドキャスト、インタビューを通じて多くの登壇も行い、さまざまな企業の不正対策プログラムや戦略を支援した。詐欺プログラムの穴を突く洞察を持っているのは、元詐欺師以上に誰がいる?」 詐欺師を詐欺師捕りに使え、というわけだ。
「その間に、今の雇用主と出会い、TASA――トラスト&セーフティ・アーキテクトという概念を紹介された。それ以来、ずっとTASAになりたいと思っていた。不正防止業界の特殊部隊(Spec Ops)だと捉えたんだ。だから機会が来たとき、掴みにいった。闇側で有効な戦力になれたのなら、不正防止ではどうやって有効な戦力だと証明できる? 不正防止業界の特殊部隊に加わる以上に良い方法があるだろうか?」
彼は一周して戻ってきた。法を守る若者から、トラウマ的な別れを経て、成功し検知されない詐欺師へ――そして娘の誕生を経て、再び善良な行動と社会での成功したキャリアへ。彼の旅がハッカーであることについて一つ示すとすれば、闇のハッキングは心理的な恒常ではなく、人生の出来事によって引き起こされ、影響を受ける一時的な状態かもしれない、ということだ。
しかし、まだ一つ問うべきことがある。彼のようなスタイルの詐欺は、今日どれほど一般的なのか。「分からない」と彼は答えた。「私のやり方では、検知される可能性が低い。たとえ集計データで検知できたとしても、市場全体で異なるアイデンティティが異なることをしているように見えるはずだ。もし12年前の私のクローンが今も活動しているなら、私たちはまだその詐欺師を検知できる段階にないと確信している。まだ完全には検知できないと思う」
ただし、誰かがホールの過去を将来の詐欺の設計図として使おうと考えないよう、警告を一言。「いま私たちは、私を特定できる製品をまとめている最中なんだ」と彼は付け加えた。
翻訳元: https://www.securityweek.com/hacker-conversations-alex-hall-one-time-fraudster/
