YouTubeスターPewdiepieを宣伝するためにプリンターやスマートテレビ機器を乗っ取ったいたずら者が、「捕まって起訴されるのではないかという絶え間ないプレッシャー」を理由にウェブサイトを閉鎖した。とんでもない、シャーロック。
「TheHackerGiraffe」は、自分たちの行動はネットワークプリンター、スマートテレビ、そして最近ではChromecastの所有者によるずさんなセキュリティ対策に注目を集めるための試みだと主張したが、実際には、最も登録者数の多いYouTubeチャンネルの宣伝活動であり、資金集めも含まれていた。ただし、彼の共同ハッカーは後に、それはYouTubeでの口論のためだけではなかったと否定した。
キリンが世界中のプリンターをハッキングして、最低なYouTuberを宣伝するなんて。これ、ちゃんと読んだかな?
続きを読む
本質的には、犯人は人々の家庭用ルーターを経由してインターネットをスキャンし、安全でないプリンター、Chromecast、および公共のインターネットに面しているその他のデバイスを探し、それらのガジェットを乗っ取って、セキュリティホールを警告するメッセージを表示し、若者に人気の YouTube チャンネルに登録させました。
この機会にルーター、Chromecast、プリンターの設定を確認し、デバイスをパブリックインターネットに公開していないことを確認してください。サイバーキリンの話に戻りますが…
「さて、ここに来ました。いよいよ終盤です。突然の離脱で申し訳ありません。チュートリアルやガイドなどを期待していた皆さんにも申し訳ありません。もう無理です。そうは見えないかもしれませんが、捕まって起訴されるのではないかというプレッシャーが常に私を苦しめ、あらゆる恐怖とパニック発作に襲わせているのです」と、TheHackerGiraffeを名乗る人物が本日、オンラインのプレーンテキストダンプサイト「Pastebin」に投稿した。
彼らはさらにこう付け加えた。「好きなYouTuberを応援する中で、皆さんのデバイスが脆弱であることをお知らせしたかっただけです。決して悪意があったわけではありませんし、悪意もありませんでした。もし私の行動で皆さんが攻撃されたり脅迫されたと感じたりしたなら、申し訳ありません」
あるTwitterユーザーは、TheHackerGiraffeからのツイートと思われるスクリーンショットを投稿した。そこには「誰かが合法的なカードを切らざるを得なかった」と書かれていた。
これは、彼のページが削除される前、または彼自身が削除する前のツイートです。😣
— シュガー&ストロベリー {¡} ♀️ (@RachetTwitta) 2019年1月3日
#hackergiraffe pic.twitter.com/6UID7fGAaK
事の発端は、フェリックス・「ピューディパイ」ことシェルバーグがYouTubeで最も人気のあるチャンネルの運営者としての地位を維持しようとしたことだった。彼の動画によって7,950万人の登録アカウントがYouTubeに集まる中、最大のライバルはT-seriesというインドのチャンネルで、7,860万人の登録者にボリウッド動画を配信している。
現実世界では、Pewdiepieはなくても幸せに生きていけるほど無害なものです。少なくとも、TheHackerGiraffeと共謀者のj3ws3rが介入するまではそうでした。二人はウェブサイト(現在は削除済み)を立ち上げ、以前は5ドルのGoogleクラウドサブスクリプションだと主張していたものを使って、PewdiepieのYouTubeチャンネルへの登録を促すメッセージを、インターネットに接続できるプリンターから遠隔印刷し始めました。
彼らは、「どんな脆弱なものをいじってみたらよいか」という検索エンジン Shodan からポート 9100 経由で表示可能なデバイスのリストを取得し、それを数年前に Black Hat で披露されたオープンソースのプリンター ハッキング ユーティリティ PRET に組み込むことで、世界中の何千台ものプリンターを攻撃しました。
TheHackerGiraffeの資金調達のためのPatreonページとTwitterアカウントが削除されました。J3ws3rは、お気に入りのYouTuberにフォロワーを増やそうとしたせいで、世界中から指をさされて笑われていることに気づき、大変不愉快な思いをしています。昨日、彼はこんなツイートをしました…
— j3ws3r 🖨 (@j3ws3r) 2019年1月3日Chromecastとスマートテレビのハックが完成しました。ありがとうございました。そして、どうか引き続きよろしくお願いいたします。そして何よりも重要なのは、誰かが勝手に操作できるポートを絶対に開いたままにしないことです。https://t.co/H2WOHQNkE8
パートナーの@HackerGiraffeに感謝します
...執筆時点で8時間の休憩の後、再びツイートし始めました。内容は次のとおりです。
@pewdiepie 本人に、これが本格的な「PEWDIEPIE のチャンネル登録者数を増やす」キャンペーンではなかったことを説明していただきたいです。これは、Google やプリンターの所有者に、脆弱なポートを開いたままにしておくことがどれほど危険であるかを示すための手段だったのです。
— j3ws3r 🖨 (@j3ws3r) 2019年1月3日
情報セキュリティ企業ペンテストパートナーズのケン・マンロー氏は、The Registerに対し、少なくとも英国では、HackerGiraffeとj3ws3rの行為は違法である可能性があると語った。
「興味深い話ですが、このような結末になってしまったのは少し残念です。@hackergiraffeは以前Twitterで、自分たちの行為は倫理的ではないと認めていましたが、PewDiePieを介した方が公共の利益にかなうと明確に感じていたようです!」とマンロー氏はメールで述べ、さらにこう続けた。「後から考えれば、彼らはやり過ぎだったと気づいたのでしょう。私の理解では、コンピューター不正使用法は意図を考慮しません。」
彼はさらに、彼らの注目を集めるスタントは「メディアに同じようなインパクトを与えなかったかもしれないし、Googleが問題解決に取り組むという前向きな結果ももたらさなかったかもしれない」と述べ、次のように結論付けた。「法律は法律だ。コンピュータ不正使用法は完璧ではなく、正当なセキュリティ研究を妨げる可能性がある。改正はずっと前から必要だが、改正が行われるまでは、どんなに善意を持っていても、すべての研究者は法の正しい側に立つようにすべきだ。」
ここから得られる教訓は何でしょうか?1つ目は、アクセス権限のないものに手を出さないこと。2つ目は、匿名性を保ちたいなら資金調達を始めないこと(Patreonでさえ、送金前に身分証明書の確認を行っています)。3つ目は、傲慢さを捨てること。これは太陽に近づきすぎたというより、活火山の火口に転がり落ちたようなものでした。®
