シルクロードの所有者の検索とキャプチャ。 FBIエージェントレポート





翻訳の序文:

10月2日にHabréで、ビットコインの無料流通が禁止されているさまざまな物質を匿名で売買できるTorネットワークのオンラインストアであるSilk Roadの所有者の拘禁に関する情報を掲載した記事が公開されました。 この記事の議論では、2013年9月27日付けの39ページの起訴のスキャン (PDF、3.3 MB) へのリンクも作成されました。このページでは、シルクロードの所有者と管理者の残虐行為が描かれています。 残虐行為の説明の法的および技術的な側面に加えて、同法には、シルクロードの所有者であるロスウィリアムウルブリヒトの身元がどのように開示されたかに関するFBIエージェントによる報告が含まれています(24〜32、33〜45ページ)。 ロシア語圏のコミュニティがよりアクセスしやすいようにすることを決定しました。今、起訴のこの部分の翻訳が注目されています。





「恐怖の海賊ロバーツ」として知られるロス・ウィリアム・ウルブリヒトの容疑者。



33.以下で詳細に説明するように、DPRを識別するプロセスでは、この人物が被告人であるロス・ウィリアム・アルブリッチであり、「Dread Pirate Roberts」、「DPR」、「Silk Road」としても知られています。 Linkedin.comのULBRICHTプロフィールによると、2006年にテキサス大学を卒業し物理学の学士号を取得したULBRICHT(29歳)は、メンバーが専門的な経験や興味に関する情報を投稿できるプロフェッショナルなソーシャルネットワークです。年。 2006年から2010年までの期間、彼はペンシルバニア大学の高校の材料科学工学部に通っていました。 しかし、ULBRICHTは、この高等学校を卒業した後、彼の「目標」がその後「変化した」とLinkedInプロフィールで報告しています。 ウルブリヒトは、それ以来、「組織や政府による組織的な力の使用なしに、世界に住むような体験を人々に直接体験させる」ために設計された「経済シミュレーションの作成」に集中していることを明確にしています。 以下に示す証拠に基づいて、ULBRICHTが言及しているこの「経済シミュレーション」はシルクロードだと思います。



34.最初に、この調査に関係する別のエージェント(Agent-1)と話をしました。エージェント-1は、シルクロードWebサイトがインターネットユーザーに知られるようになった時期と時期を判断するために大規模なインターネット調査を行いました。 Agent-1が発見した最初の公開言及は、リソース「www.shroomery.org」のオンラインフォーラムに投稿された2011年1月27日のメッセージです。 これは「マジックマッシュルーム」(「Shroomery」)のファン向けの情報Webサイトです。 「匿名のオンラインマーケット?」というタイトルのメッセージは、「altoid」というニックネームしか知られていないユーザーによって作成されました。 メッセージには次の情報が含まれていました。

シルクロードと呼ばれるこのウェブサイトに出会った。 これは隠されたTorサービスであり、オンラインで何でも匿名で売買できると報告しています。 私はそこで何かを買うことを考えていますが、ここでこれについて聞いて、いくつかの提案をすることができる誰かがいるかどうか知りたいです。 silkroad420.wordpress.comで見つけました。Torブラウザーを使用している場合は、実際のtydgccykixpbu6uz.onion Webサイトにリダイレクトされます。 あなたの考えを教えてください...


これはShroomeryフォーラムに投稿された唯一のaltoidユーザーのメッセージであり、私の準備と経験が確認するように、このフォームに登録する唯一の目的はこのメッセージを投稿することでした。



35. Shroomeryへのメッセージで、「altoid」は、「silkroad420.wordpress.com」を通じてシルクロードについて「学習した」と述べ、TorユーザーはTorを介してシルクロードにリダイレクトできると述べています。 アドレス「silkroad420.wordpress.com」は、Wordpressとして知られるブログサイトのアカウントです。 Wordpressから受け取ったエントリーによると、silroadroad420アカウントは2011年1月23日に登録されました。これは、Shroomeryに関するaltoidブログ投稿が登場する4日前です。 (アカウントは、Torを使用してインターネットに接続し、使用するIPアドレスから判断して、匿名で登録されました。)



36. 2011年1月27日にShroomeryにメッセージが表示された後、Agent-1によって発見されたインターネット上のシルクロードの次の言及。 2日後、2011年1月29日に作成された投稿で、ビットコインに関するオンラインディスカッションフォーラム(「ビットコイントーク」)である「bitcointalk.org」に投稿されています。 このメッセージは、「altoid」というニックネームを使用している人によっても投稿されました。 メッセージは、ビットコインを介した決済で機能する「ヘロインストア」の可能性に関するビットコイントークの他のユーザーによって開始された長い議論のスレッドに登場しました。 この投稿では、「altoid」は次のように書いています。



素晴らしい議論! 皆さんはクールなアイデアをたくさん持っています。 シルクロードを見た人はいますか? これは、匿名のamazon.comのようなものです。 彼らがヘロインを持っている可能性は低いですが、彼らは他の面白いものをたくさん売ります。 彼らは単にビットコインとtorを一緒に使用して匿名トランザクションを実行します。 これはここです-tydgccykixpbu6uz.onion 。 Torに慣れていない人は、silonroad420.wordpress.comにアクセスして、.onionサイトへのアクセス方法を確認できます。



あなたがそれについてどう思うかをみんなに知らせましょう




37.私のトレーニングと経験に基づいて、ShroomeryとBitcoin Talkでaltoidが作成した2つの投稿は、サイトへの関心を喚起する試みです。 altoidがこのサイトに関する2つの類似した投稿を2つのまったく異なるディスカッションフォーラムに投稿し、2日間の差があるという事実は、altoidがさまざまなディスカッションフォーラムにアクセスしたことを示しています。 Silk Roadは、フォーラムの参加者間でサイトを宣伝する方法を見つけるのに興味深いものです。これは、私のトレーニングと経験に基づいて、新しいWebサイトの標準的なマーケティング戦略です。 さらに、「altoid」は両方の投稿を「あなたの考えをみんなに教えて」というフレーズで終わっているという事実は、「altoid」がシルクロードの使用経験を共有することに興味があるだけでなく、サイトを宣伝および改善するという彼の意図に従って、他のユーザーからのフィードバックも受け取りたいと考えました。



38. Bitcoin Talkフォーラムのさらなる研究で、エージェント1は、2011年10月11日、シルクロードに関するメッセージの約8か月後にフォーラムに「altoid」が残した別のメッセージを発見しました。 メインのサブジェクトブランチとは無関係の別の投稿で、altoidは、「Bitcoinの使用に基づく1つのスタートアップのプロジェクト」に関連して採用するために、「BitcoinコミュニティのITプロフェッショナル」を探していると報告しています。 このメッセージは、関心のある参加者を招待して、「rossulbricht at gmail dot com」というアドレスにプロポーザルを送信するように招待しました。



39. Googleを通じて取得したユーザーレコードによると、Gmail Ulbrichtアカウントは「Ross Ulbricht」という名前で登録されています。 記録によると、UlbrichtはGoogleがサポートするソーシャルネットワークサービスであるGoogle+にアカウントを持っています。 Ulbrichtの公開されているGoogle+プロフィールを調べたところ、33段落で述べたように、Ross UlbrichtのLinkedInプロフィールの写真と一致する彼の写真が含まれていることがわかりました。



40. UlbrichtのGoogle+ページへの訪問でも、フォーラムの投稿でDPRが定期的に引用している特定のWebサイトへのリンクが含まれていることが明らかになりました。 特に:



a。 UlbrichtのGoogle+プロフィールには、お気に入りのYouTube動画のリストが含まれています。これには、Mises Instituteと呼ばれる組織のWebサイトであるmises.orgの動画が含まれています。 彼女のサイトによると、ミーゼス研究所は自身を「オーストリア経済学部の世界的中心」と考えています。 Webサイトでは、訪問者がプロファイルを登録および作成できます。 このサイトの公開されているアーカイブバージョンを調査すると、Ross Ulbrichtのユーザープロファイルが見つかりました。これには、Ross Ulbrichtの画像に対応するユーザー画像が含まれており、Google +およびLinkedInのプロファイルで利用できます。



b。 シルクロードフォーラムでのDPRの投稿に精通していることから、このフォーラムでのDPRユーザーの署名には、ミーゼスインスティテュートのWebサイトへのリンクが含まれていることがわかります(署名に含まれる2つのリンクの1つ) さらに、フォーラムの別の投稿で、DPRは「オーストリア経済理論」と、シルクロードの存在に哲学的理由をもたらすものなど、ミーゼス研究所と結びついているエコノミストのルートヴィヒフォンミーゼスとマレーロスバードの作品を​​引用しています。



41.調査はまた、2013年6月初旬、Ulbrichtがシルクロードの管理に使用されるサーバーへの接続が確立されたインターネットカフェの近くのカリフォルニア州サンフランシスコに住んでいたという証拠を確立しました。 特に:



a。 Googleから受信したレコードを調査し、2013年1月13日から2013年6月20日までにGmail UlbrichtアカウントにログインしたログにIPアドレスが含まれていることを確認しました。 Comcastの特定のIPアドレス。 Comcastから受信した記録に従って、指定されたアクセス時間にこのIPアドレスが路上の特定のアドレスに登録されました。 ヒッコリー、サンフランシスコ、CA このアドレスには、私が知っているように、サンフランシスコのウルブリヒトの友人(以下「友人」)である別の人が登録されています。ウルブリヒトは、2012年9月にサンフランシスコに暫定的に到着したときに停止しました。 、これらの考慮事項を確認する状況で両方の友人が撤回されました。



b。 Silk Road Webサーバーから取得したプライベートDPRの通信に関する私の調査に基づいて、DPRが定刻どおりに動作する場合、太平洋時間帯を定期的に示していたことを知っています。 たとえば、2013年4月18日付の個人メッセージで、DPRは別のSilk Roadユーザーに次のように通知します。「太平洋標準時(午後4時)頃です。 何かする必要があります。」 私のトレーニングと経験に基づいて、この傾向は、DPRが物理的に太平洋時間帯に位置していることを示唆していると考えています。太平洋時間帯は、もちろんカリフォルニア州サンフランシスコにあります。



c。 さらに、Silk Road Webサーバーのフォレンジック調査の結果に基づいて、サーバーにはサーバーへの管理アクセスを制限するために使用されていたコードが含まれているため、このコードで指定された特定のIPアドレスを持つユーザーのみがアクセスできます。 私のトレーニングと経験に基づいて、サーバーへのアクセスの一般的な構成方法を理解すると、このIPアドレスはVPNサーバー、実際にはDPRがSilk Road Webサーバーにリモート接続できるセキュアゲートウェイに属していると思いますコンピューターから。 VPNサーバーのIPアドレスは、特定のホスティング会社がホストするサーバーに属し、裁判所の判決により、指定されたVPNサーバーに関するデータを提供しました。 レコードは、VPNサーバーのコンテンツが、レンタルしたユーザーによって破壊されたことを示しています*。 ただし、レコードには、ユーザーが2013年6月3日のサーバーとの最後のセッション中にVPNサーバーに接続したIPアドレスに関する情報が含まれていました。このIPアドレスはComcastに属します。カリフォルニア州サンフランシスコのラグーナ通りにあるカフェ。 このカフェは、ulの友人の住所から500フィート以内に位置しています。 Googleの記録によると、2013年6月3日に何度か、UlbrichtがGmailアカウントに定期的に接続したヒッコリー。



* VPNサーバーのIPアドレスを含むコードは、Silk Road Webサーバーで「コメント化」されました。つまり、サーバーイメージが取得された2013年7月23日の時点で非アクティブでした。 Silk Road Webサーバーから回復したプライベートDPR通信を調査した結果、2013年5月24日に、Silk Roadユーザーが「何らかの種類の外部IPアドレス」の「リークがありました」という個人メッセージ警告を彼に送信したことを知っていますサイト、VPNサーバーのIPアドレスを示します。 私のトレーニングと経験に基づいて、このメッセージに応じて、DPRはVPNサーバーのIPアドレスを含むコードを無効にし、VPNサーバーのコンテンツを破棄し、今後使用したSilk Road Webサーバーへのアクセス方法を変更したと考えています。



d。 私の訓練と経験に基づいて、この証拠は、同時にウルブリヒトが位置していたのとほぼ同じ地域に、DPRであるシルクロード管理者の滞在を確認します。



42.調査の結果、2013年7月までに、ウルブリヒトはサンフランシスコの別の住所に移動し、いくつかの偽の身分証明書を含むパッケージを受け取ったことがわかりました。シルクロードに関する文書。 特に:



a。 米国税関国境警備局(TPN)から受け取った調査報告書の調査結果に基づいて、次のことを学びました。



i。 暫定的に2013年7月10日、標準的な国境チェック手続きの一環として、TPNはカナダからの荷物を延期しました。 パッケージに9つの偽のIDが見つかりました。 すべての偽文書は異なる姓に対して発行されましたが、すべてに1人の写真が含まれていました。 このパッケージは、カリフォルニア州サンフランシスコの15番街にある住所の受取人を対象としています(「15番街の住所」)。



ii。 2013年7月26日頃、内部調査分野の調査局(DRVB)のエージェントは、さらなる調査の目的で15番街の住所を訪問しました。 エージェントは、この住所の住居で、「Dread Pirate Roberts」、「DPR」、「Silk Road」としても知られるロス・ウィリアム・アルブリヒト、被告人、パッケージの偽造IDカードの写真に描かれている人物を発見しました。



iii。 エージェントは、押収された偽造文書の1つの写真をウルブリヒトに提示しました。これは、カリフォルニア州の運転免許証であり、彼の実際の生年月日であるが他の人の名前が記載されています。 ULBRICHTは、このカードやその他の身分証明書の購入に関する質問への回答を拒否しました。 同時に。 Ulbrichtは、彼自身のイニシアチブで、「仮説的に」誰でもTorネットワーク上のSilk Road Webサイトにアクセスして、薬物または希望する偽文書を購入できると述べました。



iv。 ULBRICHTは、テキサス州が発行した運転免許証をエージェントに提示しました。 彼は、現金で月額1,000ドルで転貸のために15th StreetのAddressに部屋を借りていると説明した。 ウルブリヒトは、この時点で2人が彼と同じ家に住んでおり、「ジョシュ」という名前で彼を知っていたと言いました。



v。 エージェントは、ULBRICHTのハウスメイトの1人とも話をしました。彼は、彼が「ジョシュ」と知っていたULBRICHTがいつもコンピューターの部屋にいることを確認しました。



b。 Silk Road Webサーバーから回復した個人のDPR通信の調査結果から、2013年6月と7月に、DPRは他のSilk Roadユーザーと繰り返し連絡を取り、偽のIDの取得に関心を示したことがわかります。 例:



i。 2013年7月8日付のメッセージの1つで、DPRは別のSilk Roadユーザーに「偽のIDカードが必要」と伝え、「サーバーのレンタル」に使用し、「クラスターの作成に忙しい」と説明しました。サーバー。」 私のトレーニングと経験に基づいて、サーバーホスティングサービスを提供している企業では、顧客を識別するために、何らかの形で身元を確認する必要があることがよくあります。 したがって、想定される名前でサーバーをレンタルするために、DPRは偽のドキュメントの検索に従事していたと思います。



ii。 2013年6月1日付の別のメッセージでは、DPRと別のSilk Roadユーザー-「redandwhite」、DPRが上記の契約殺害の実行を申し出たのと同じユーザー(約Trans。オリジナル文書の未翻訳部分)、オンラインチャットで特定の時間にチャットすることに同意し、DPRはredandwhiteに次のように伝えます。 4日後の2013年5月6日、DPRはredandwhiteにメッセージを送信しました。「こんにちは、偽の証明書の提案でどこに行ったのか明確にしたい」 Redandwhiteは「これは私の男性がやっていることであり、彼はその過程にいます」と答えています。



43.最終的に、調査中に、UlbrichtがTorの隠されたサービスを管理し、Silk Road Webサーバーにある特定のプログラムコードと特定の暗号化キーとの接続を確認しているという証拠が得られました。 特に:



a。 私の経歴と経験に基づいて、「stackoverflow.com」ウェブサイト(「Stack Overflow」)は、プログラマーがプログラミングの問題に関する質問を投稿し、他のプログラマーからソリューションの提案を得るために使用するウェブサイトであることを知っています。 Stack Overflowから受け取ったレコードによると:



i。 2012/03/05特定のユーザーが、「Ross Ulbricht」という名前でStack Overflowにアカウントを登録しました。 Ulbrichtは、登録時に必要な情報の一部として、Gmail Ulbrichtアカウントをメールアドレスとして提供しました。



ii。 2012年3月16日午後8時39分頃、Ulbrichtは「phpでcurlを使用してTorの隠しサービスに接続するにはどうすればよいですか?」というタイトルのメッセージをWebサイトに投稿しました。 私のトレーニングと経験に基づいて、「PHP」はWebサーバーに使用されるプログラミング言語を意味し、「カール」はこの言語で使用できる一連のプログラムコマンドを意味することを知っています。 メッセージの内容の中で、Ulbrichtは「curl」コマンドを使用する12行のコードを引用し、「phpを使用してTorの隠されたサービスに接続するために」使用したと主張しますが、報告すると、コードはエラーを返しました。 私のバックグラウンドと経験に基づいて、Ulbrichtの投稿は、Silk RoadなどのTor Webサーバー用のカスタムコードを書いていたと述べています。



iii。 ユーザーがStack Overflowにメッセージを投稿すると、メッセージの横に名前が表示されます。 ただし、前の段落で説明したメッセージが公開されてから1分以内に、Ulbrichtはユーザー名を「Ross Ulbricht」から「frosty」に変更しました。 私の訓練と経験に基づいて、犯罪者は身元を特定するのを困難にするために身元を隠すために仮名を使用することが多いことを知っています。 したがって、時間を考慮に入れると、Ulbrichtは1分前に​​投稿したメッセージとの接続を隠すためにユーザー名を「frosty」に変更し、そのメッセージはすべてのインターネットユーザーに公開されており、 Torの隠されたサービスの使用への彼の関与。



iv。 数週間後、Ulbrichtは登録メールアドレスをUmail Ulbricht GmailアカウントではなくStack Overflow、「frosty@frosty.com」に変更しました。 一般公開されているメールアドレス検索サービスcentralops.netによると、frosty @ frosty.comは有効なメールアドレスではありません。 繰り返しますが、私のトレーニングと経験に基づいて、身元を隠そうとする犯罪者は、しばしばオンラインアカウントで架空のメールアドレスを使用することを知っています。 したがって、Ulbrichtは実際のメールアドレスと隠されたTorサービスを使用していることを示すメッセージとの接続を完全に排除するために、Stack Overflowのメールアドレスをダミーアドレスに変更したと思います。



b。 Silk Road Webサーバーのフォレンジック証拠に基づいて、Silk Road Webサーバーのコードには、「curl」に基づくカスタムPHPスクリプトが含まれていることがわかります。これは、UlbrichtのStack Overflow postメッセージで指定されたコードと同一のコード行。 私のトレーニングと経験に基づいて、Silk Road WebサーバーのコードはUlbrichtのメッセージに記載されているコードの修正バージョンであるように思われます(Ulbrichtはエラーを生成したため修正方法を見つけようとしました)。



c。 さらに、Silk Road Webサーバーからのフォレンジック証拠にも基づいて、次のことを知っています。



i。 2013年7月23日、Silk Road Webサーバーは、管理者がサーバーの観点から信頼できるコンピューターから接続する場合、DPRである管理者がパスワードを入力せずにサーバーに接続できるように構成されました。



ii。 特に、私のトレーニングと経験に基づいて、このような構成には、SSHプロトコル(Secure Shell)を使用した接続での暗号化キーの使用が含まれることを知っています。 このような構成を作成するには、管理者は2つの暗号化キーを生成する必要があります。サーバーに保存される「公開」キーと、サーバーの接続元コンピューターに保存される「プライベート」キーです。 これらのキーが作成されると、サーバーは、管理者の秘密キーとサーバーに保存されている対応する公開キーとの接続に基づいて管理者のコンピューターを認識できます。



iii。 私のバックグラウンドと経験に基づいて、SSHの暗号化キーはテキスト文字の長いチェーンで構成されていることを知っています。 さまざまなSSHプログラムがさまざまな方法で公開鍵を生成しますが、それらはすべて、「[user] @ [computer]」という形式の末尾を持つテキスト文字列で、同様の形式で公開鍵を生成します。 このサブストリング内のコンピューターは公開キーを生成したコンピューターの名前であり、ユーザーはそれを作成したユーザーの名前です。 たとえば、誰かがMyComputerコンピューターを使用してSSHキーのペアを作成し、ユーザーがJohnとしてログインしている場合、結果として生成される公開キーはサブストリングJohn @ MyComputerで終わります。



iv。 Silk Road Webサーバーに保存されているSSH公開キーを調べました。これは、サーバーに接続するときに管理者を認証するために使用されました。 キーの末尾は「frosty @ frosty」です。 私のトレーニングと経験に基づいて、これは、Silk Road管理者が「frosty」という名前のコンピューターを使用することを意味します。このコンピューターには、同じ名前「frosty」のユーザーアカウントがあり、そこからSilk Road Webサーバーがログインしました。私の経歴と経験に基づいて、コンピューターユーザーは異なる種類のアカウントに同じ名前を使用することが多いことを知っています。したがって、特に上記のRoss UlbrichtとDPRの間の他のリンクを考慮すると、Stack OverflowユーザーはRoss Ulbichtであり、名前をfrostyに変更し、メールアドレスをfrosty@frosty.comは、「frosty」というユーザーアカウントが存在する「frosty」という名前のコンピューターからSilk Road Webサーバーに接続したSilk Roadの管理者であるDPRと同じ人です。



44.テキサス自動車部から、「ドレッドパイレーツロバーツ」、「DPR」、「シルクロード」としても知られるロスウィリアムウルブリヒトのコピーを、ULBRICHTが提示したときに運転免許証と同じ番号で受け取った上記のように、2013年7月26日にDRVBエージェントと連絡してください。運転免許証の写真は、上記のGoogle +、Mises Institute、LinkedInのアカウントのプロフィールに写真が投稿されている同じ人物の画像です。



45.したがって、「Dread Pirate Roberts」、「DPR」、「Silk Road」としても知られる非難されたROSS WILLIAM ULBRICHTは、シルクロードの所有者および運営者であると考えています。



ですから、被告人ロス・ウィリアム・ウルブリヒトの逮捕令状を発行するようお願いします。ロス・ウィリアム・ウルブリックは、「ドレッド・パイレーツ・ロバーツ」、「DPR」、「シルクロード」とも呼ばれます。



クリストファー・ターベル

特別捜査官

連邦捜査局



All Articles