インドの人権活動家2人のPCにハッカーたちが捏造した証拠を仕掛け、その2人を含む16人の活動家が逮捕された2018年の「ビマ・コレガオン事件」。このインドで起きた世界的に知られる事件の悲劇的で不公正な点に、いま焦点が当てられている。
同じハッカーによって捏造された証拠が、逮捕後に獄中死した別の活動家のハードドライブにも仕掛けられていた痕跡が、民間の捜査企業によって発見されたのだ。このハッカーたちが、死亡した逮捕者を取り調べていたインド西部のプネー市警察と共謀していたことを示す新たな手がかりも見つかっている。
ボストンに拠点を置きデジタルフォレンジック(デジタル鑑識)を手がけるArsenal Consultingは、これまでビマ・コレガオン事件で被告とされた活動家側を代表して調査を続けてきた。そして新たな報告書を22年12月中旬に発表し、拘束された16人の活動家でおそらく最も知名度の高い部族権利活動家のスタン・スワミーのハードドライブの分析結果を公開している。
イエズス会の神父で84歳だったスワミーはパーキンソン病を患っており、20年に逮捕されたあと獄中で新型コロナウイルス感染症(COVID-19)にかかり、21年に病院で亡くなった。Arsenal Consultingは今回の調査で、ビマ・コレガオン事件で活動家のスレンドラ・ギャドリンとロナ・ウィルソンのPCに捏造した証拠を仕掛けたハッカー集団が、スワミーのPCにも不正工作を加えていた証拠を突き止めたと発表している。
押収される直前に消えた痕跡
これと同時にArsenal Consultingは、ハッカーたちが企てた不正工作の痕跡を隠そうとした新たな証拠を発見した。この隠蔽工作は、19年にスワミーのPCが押収される前日に実施されている。このため、ハッカーたちがプネー市警察による強制捜査と証拠の押収を事前に知っており、捜査当局と協力関係にあったことを示唆している。
「これは当社がこれまで扱ってきた証拠の改ざんに関連する案件のなかで、最も重大な事例に数えられることを記録しておく」と、Arsenal Consulting社長のマーク・スペンサーは報告書に記している。「スワミーのPCに不正侵入したハッカーは膨大な量の資源(時間を含む)を有しており、主な目的が監視と有罪の証拠にする文書を仕込むことにあった点は明白である」
新たな報告書は活動家側の主張にとって重要な勝利であると、スワミーと逮捕されたほか2名の活動家の代理人を務めるミヒル・デサイは語る。「証拠が偽物であることが改めて証明され、繰り返し示されました。そして、本件における逮捕すべてに疑問を投げかけられるようになったのです」
そして、スワミーのPCが押収される直前にハッカーが侵入した痕跡を消そうとしたことが判明した点が、「捜査当局の人間が事情をよく把握していた」ことを物語っていると、デサイは指摘している。
Arsenal Consultingは今回の報告書で、スワミーのPCにハッカーが残した一連の手がかりの存在を示している。端末の分析は22年8月から、命を落としたスワミーに代わってArsenal Consultingが進めてきた。
報告によると、ハッカーらは14年〜19年にかけて少なくとも3回にわたってスワミーの端末に侵入したという。そして「NetWire」として知られるマルウェアの複数のバージョンをインストールした。
メモリとディスクストレージに残された痕跡を元にArsenal Consultingは、NetWireによって端末にインストールされた複数のファイルを隠しフォルダ内に発見した。ファイルはさまざまな反政府武装勢力が所有する武器のリストや、国政与党であるインド人民党(BJP)党員の誘拐を示唆するとみられる内容が含まれていたという。
スワミー自身はファイルに触れていないと、Arsenal Consultingは報告している。プネー市警察が端末を押収したあと、これらのファイルはスワミーを含む16人の告発に際し、一連のデジタル証拠の一部として使われている。逮捕容疑はテロ行為と、18年に起きた死者2人を出した暴動の扇動だった。
ハッカーたちのずさんな証拠隠滅
Arsenal Consultingが発見した内容は、いずれもすでに明らかになっている証拠の不正操作と一致しており、逮捕された活動家2人の端末を狙ったハッカーと同じ人物による工作とみられる。「わたしたちは(またしても)攻撃を仕掛けた人物を犯行現場で取り押さえたことになる」と、Arsenal Consultingは報告書に記している。
ところが、スワミーのPCに関する新たな事実も発見された。ハッカーたちはArsenal Consultingが「捜査の妨害行為」と呼ぶ工作を開始したのだ。
ハッカーたちは、スワミーのPCに侵入した形跡を示すファイルを19年6月11日から削除し、痕跡を消そうと試みている。これはプネー市警察が端末を押収した6月12日の前日に該当する。この試みは「前例のない行為であるとともに、PCの押収が差し迫っていることを考えると極めて不審だ」と、報告書は結論づけた。
言い換えれば、ハッカーらはスワミーの告発につながる偽の証拠を仕掛けつつ、その後の訴訟手続きで発覚する恐れのある不正行為の証拠を消去しようとしたのだと、セキュリティ企業Sentinel Oneのリサーチャーであるトム・ヘーゲルは説明する。ヘーゲルは同社のフアン・アンドレス・ゲレーロ=サーデと共同で、ビマ・コレガオンを巡るハッキングに関する独自の調査結果を発表している。
証拠隠滅の際にずさんさと焦りが垣間見えたと、ヘーゲルは指摘する。つまり、端末の押収が迫っているという情報を何らかの手段で入手していたことを示している。そして内密にスワミーの端末に5年ほど侵入してきた結果、急いで形跡を消そうと動いていた可能性があると、ヘーゲルは推測する。
拘束された16名を標的にしたハッカーが、逮捕の大部分を担ったプネー市警察と共謀関係にあったことを示唆する事実はいくつか判明しており、証拠隠滅行為はそのひとつに該当する。ヘーゲルとゲレーロ=サーデは21年6月の取材に対し、ハッキングされた活動家数名のメールアカウントに警察官のひとりが自身のメールアドレスと電話番号を追加していた形跡があったと回答していた。
一部は逮捕の数カ月前に実施されており、活動家のアカウントへのログイン状態を維持するための、いわば雑なバックアップ対策だったとみられる。「活動家を逮捕した人物と証拠を仕掛けた人物の間には、何らかの結びつきがあると考えられます」と、ゲレーロ=サーデは当時の取材に語っている。
プネー市警察には、22年6月と新たな報告書の発表を受けた今回を含め2度にわたってコメントを求めたが、いずれも回答はなかった。
別のハッカー集団との関与も
ビマ・コレガオン事件で逮捕された16人のうち、11人はいまも投獄されたままだ。3人は保釈金を納めて釈放され、1人は自宅軟禁の状態に置かれている。
なかでも世界で最も注目されていた人物は、最年長でただひとり拘束中に死亡したスタン・スワミーだろう。複数の人権団体や米国務省が神父の投獄を非難する声明を出している。スワミーには、人権運動の分野におけるノーベル賞とも称される「マーティン・エナルス賞」が、亡くなったあとに贈られた。
ところが、スワミーを陥れようとしたハッカーにとって、彼が唯一の標的ではなかった。Arsenal Consultingの報告書に記されたマルウェアとハッキングツールの詳細に基づくと、スワミーとほか2人の端末に侵入した人物は、Sentinel Oneが「Modified Elephant」と呼ぶハッカー集団に属しているとヘーゲルは指摘する。
ヘーゲルとゲレーロ=サーデは、Modified Elephantが使っているコードとコマンド&コントロールサーバーを分析し、2月に報告書を発表している。それによると、Modified Elephantは12年ごろから数百名に及ぶ活動家やジャーナリスト、学者らを狙っていたというのだ。
「Modified Elephantとの関連は極めて明白であり立証可能です」と、ヘーゲルは言う。「少なくともこれまで得られた証拠から、ビマ・コレガオンの件による逮捕者は不当におとしめられていたことが改めて確認されました」
不正工作を働いてきたハッカーらがスワミーを投獄させ、生涯最後の日々を獄中で過ごさせた捜査当局と手を組んでいた事実を否定することは、ますます難しくなっているのだ。
(WIRED US/Translation by Noriko Ishigaki/Edit by Naoya Raita)
※『WIRED』によるハッキングの関連記事はこちら。
次の10年を見通す洞察力を手に入れる!
『WIRED』日本版のメンバーシップ会員 募集中!
次の10年を見通すためのインサイト(洞察)が詰まった選りすぐりのロングリード(長編記事)を、週替わりのテーマに合わせてお届けする会員サービス「WIRED SZ メンバーシップ」。無料で参加できるイベントも用意される刺激に満ちたサービスは、無料トライアルを実施中!詳細はこちら。