犯罪者と詐欺師がサイバーセキュリティを侵害し始める – Krebs on Security
人気のあるソフトウェアのセキュリティ脆弱性を徹底的に調査するために何百万ドルも投じているサイバーセキュリティのスタートアップ企業は、過激派陰謀論者と有罪判決を受けた犯罪者の2人によって経営されており、彼らの最近の事業には偽諜報会社やAIベースのロビー活動プラットフォームも含まれている。
X/Twitterアカウント アイリスC2 (@C2IRIS) は、2025 年 1 月の設立以来 4,000 人を超えるフォロワーを獲得しており、セキュリティの脆弱性、AI、ソフトウェアのエクスプロイトに関する投稿を頻繁に行っています。 IRIS C2によると、同社はバージニア州マクリーンに拠点を置き、攻撃的なサイバーセキュリティ機能を販売する企業だという。
IRIS C2 Web サイトは、人材を呼び込むためのエクスプロイトに数百万ドルを支払う危険を冒しています。
X の IRIS C2 アカウントのトップは、「当社のビジネス モデルはこれです。最高の脆弱性研究者と開発者を当社に入社させます。主に未熟な才能と非常に高い IQ を備えた若いエンジニアを中心にしています。彼らが大学での経験があるかどうかは気にしません。」と書いています。
このプロフィールにリンクされている Web サイト – アイリス2[.]コム – 同社は多数の空きポジションを募集しており、LinkedIn ページの最近の投稿では、潜在的な従業員からの多数の応募について熱心に書かれています。 Web サイトでは、IRIS C2 は、すべての主要なプラットフォームにわたってゼロエクスプロイト、個別のプリミティブ、部分チェーン、および完全な機能を実現するビジネスを行っていると主張しています。料金は、ターゲット、信頼性、運用コストに応じて、10,000 ドルから 700 万ドルの範囲です。
政府契約ポータル g2exchange.com irisc2 が報告[.]com は、Virginia という企業によって運営されています。 LLC カルベクサ グループ。 Calvexa Group の Web サイト上の「連絡先」リンク – カルベキサグループ[.]コム – 訪問者をirisc2に誘導します[.]コム。 G2Exchange によると、Calvexa Group LLC は連邦請負業者として登録されているものの、政府との直接契約には取り組んでいないようです。
Calvexa Group LLC の企業記録に記載されているバージニア州アーリントンの住所を検索すると、その不動産が所有されていることが明らかになりました。 ジャック・バークマン60歳のロビー活動会社の創設者兼マネージングパートナー バークマン&アソシエイツ。 IRIS C2 に関する質問が寄せられたとき、バークマン氏は 28 年間の長年のパートナーにさらなる問い合わせを依頼しました。 ジェイコブ・ウォール。
2020年8月の記者会見でのジャック・バークマン(左)とジェイコブ・ウォール。画像:Wikipedia。
バークマン氏とウール氏には、偽諜報会社を設立し、その会社を利用して、当時のFBI長官に対する性的暴行でっち上げ疑惑など、公人に関する虚偽の申し立てを広めたという有名な歴史がある。 ロバート・ミュラーそして ピート・ブティジェッジ当時、サウスベンド市(インディアナ州)の市長であり、民主党の大統領候補者でした。 2019年、バークマンとウールは記者会見を開き、不倫関係を誤って報告した。 エリザベス・ウォーレン上院議員 (マサチューセッツ州民主党)そしてその後2020年の大統領候補となる カマラ・ハリス。
2020年の大統領選挙後、ウォール氏とバークマン氏は、激戦州の住民に数千回のロボコールを行い、虚偽の投票用紙を配布したとして米国の複数の州から訴えられた。彼らはデトロイトでの黒人票の抑制を目的とした盗聴計画を首謀したとしてクリーブランドで15件の重罪で起訴され、起訴棄却を求める控訴が棄却された後、2025年末に執行猶予を言い渡された。
2022年、ウォール氏とバークマン氏はともにオハイオ州で電気通信詐欺の重罪1件で有罪を認め、罰金、保護観察、社会奉仕を言い渡された。 2023年3月、ニューヨークの民事裁判官はウォール氏とバークマン氏が連邦および州の公民権法に違反したとの判決を下し、両氏は100万ドルを支払うことに同意した。
2023年6月 連邦通信委員会 (FCC) は、ロボコールキャンペーンに対してウォールとバークマンに 510 万ドルの罰金を科しました。これは、電話消費者保護法に基づいて FCC が請求した罰金としては、当時としては最高額でした。
Jacob “Jay” Waugh の GitHub アカウント。
ウォール氏は17歳までに複数の投資会社を設立し、2015年にFOXニュースに出演して新たなファンドについて話したことから「ウォール街のウォール街」というあだ名がついた。 2017年、アリゾナ州会社委員会はウォール氏とその投資ファンドを証券詐欺の14件で起訴し、賠償金として3万5000ドルの支払いを命じた。 2019年、ウォール氏はカリフォルニア州で未登録証券販売の4件の重罪で有罪を認め、2年間の執行猶予を言い渡された。
これまで知られていなかったセキュリティ脆弱性の市場には、研究者、学者、ペテン師、ハッカー、サイバー コミュニティに積極的に関わっている人々が多彩に混在し、常に賑わっています。しかし、攻撃的なセキュリティサービスを米国政府に販売する市場は一般的に非常に慎重です。多くの政府請負業者は脆弱性研究者を雇い、新しいソフトウェアエクスプロイトの独占的権利にお金を払っていますが、IRIS C2 ほど厚かましく公然とそれを行う企業はありません。
IRISC2 (@c2iris) Twitter/X アカウントからの最近の投稿。
実際、KrebsOnSecurity は先月、地域のサイバーセキュリティ会議の出席者が、Wohl と Calvexa Group が自社の脆弱性研究の販売について会議の参加者をいじめていると主張するまで、IRIS C2 の存在を知りませんでした。
KrebsOnSecurityとのインタビューでVol氏は、バークマン氏はIRIS C2の日常業務には関与していないと述べた。ウォー氏によると、IRIS C2はもともと侵入テスト会社としてスタートしたが、最近は電話ハッキングサービスを政府に販売することに重点を移したという。ウール氏はインタビュー中何度か、連邦政府との契約に取り組むことに言及したが、詳細を求められた際には、それについては積極的には明かさないと述べた。
ウール氏は、コンピュータサイエンスや情報セキュリティに関する正式な教育や訓練を受けておらず、知識のほとんどは独学だと述べた。
「私はテクノロジーについて誰よりも詳しい」とウォール氏は自慢した。 「私の分析は常に非常に技術的であり、常にテクノロジーに深く関わってきました。人々は私のことを、頭がくらくらするような驚くべき機能を生み出すことができる人物として知っています。」
ヴォル氏は、セキュリティ研究者が「定期的に」脆弱性に関する稀な調査結果を同社にもたらすが、多くの場合、それらの調査結果は暫定的なもので完全に正確ではないと述べた。
「誰かが携帯電話のメディアデコーダに欠陥を発見したとしましょう」とウォル氏は言う。 「多くの場合、私たちが得られるのはアイデアがある初期のエクスプロイトですが、 [execution] 仕事が必要です。このエクスプロイトを安定して信頼できるものにする必要があり、それが私たちの仕事です。」
Woh氏は、IRIS C2には約40人の従業員がいると主張しているが、運用上のセキュリティ上の理由から、LinkedInに自分の仕事を掲載できる従業員は一人もいないと述べた。 5月、XのIRIS C2アカウントの作成者は、ガールフレンドは自分が何をしているのか分からないと述べた。しかし、IRIS C2 に他の従業員がいる場合、彼らも同様にウール氏の偽造履歴や本名さえ知らない可能性があります。
2024 年 9 月に、 政治 バークマン氏とウォール氏は、大手企業が彼らの今はなき会社からサービスを購入しているとされることを自慢していたと報じた。 ロビーマティック政治的ロビー活動を支援するために人工知能を使用していると主張している。しかし、ポリティコは二人が偽名を使って会社を経営しており、ウォール氏は「ジェイ・クライン」という名前を使用し、バークマン氏は「ビル・サンダース」というあだ名を使用していると報じられている。ポリティコは、ロビーマティックの元従業員2人が自分の正体を知って退職したが、他の従業員は退職後に初めて知ったと報じた。
7月9日午前9時44分更新: 何人かの読者が、このジャーナリストの 3 月 31 日の出版物に注目しました。 モリー・ホワイト同紙は、バークマン氏とウォール氏が、仮想通貨プラットフォームのカイバースワップとインデックス・ファイナンスから6500万ドルを盗んだ疑いで、米国および他の数カ国から指名手配され、カナダの仮想通貨詐欺師から30万ドルを支払ったと報じた。報告書によると、2人はまだ有罪判決を受けていないハッカー容疑者に代わって「誤判を防ぐための大統領恩赦」を実行するために雇われたという。