2023年1月20日早朝、ある医師のユーザーアカウントが州外からハワイ州電子死亡登録システムにログインし、ジェシー・キプフという男性の死亡を証明した。死亡証明書には、1週間前にCOVID-19による「急性呼吸窮迫症候群」と死因が記載されていた。こうして、キプフは複数の政府データベースにあっさりと死亡者として登録された。
同日、「FreeRadical」というニックネームのハッカーが、ハッキングフォーラムに同じ死亡証明書を投稿し、システムへのアクセスを金銭化しようとした。「アクセスレベルは医療証明者です。つまり、このパネルで死亡証明書を作成し、証明できるということです」とハッカーは記していた。
ハッカーは投稿に偽造死亡証明書のスクリーンショットの一部を掲載しましたが、重大なミスも犯していました。FreeRadicalは死亡証明書に記載されている人物の出生州を隠蔽し忘れ、スクリーンショットの隅に州政府の印章の一部が小さく表示されたままになっていました。
コロラド州の反対側では、Google傘下のサイバーセキュリティ企業Mandiantのシニア脅威アナリスト、オースティン・ラーセン氏が同僚と共に、サイバー犯罪フォーラムの監視を含む定期的な脅威情報収集の一環として、この投稿をオンラインで発見した。ラーセン氏らは、偽の死亡証明書の不適切な切り抜きスクリーンショットに注目し、このフォーラム投稿がFreeRadicalが米国ハワイ州政府をハッキングした証拠であると突き止めた。
ハッキングに関するフォーラムの投稿を発見してから3日後、ラーセン氏はハワイ州当局に対し、同州政府のシステムがハッキングされたことを通知した。
9月初めのインタビューでTechCrunchが共有したラーセン氏のメッセージのスクリーンショットによると、通知には「犯人は医療認証機関のアカウントを侵害した可能性が高い」と書かれていた。
ラーセン医師の警告を受けて連邦捜査が開始され、死亡証明書の提出に使用された医師のユーザーアカウントが、死亡したとされるジェシー・キップフ本人によって不正アクセスされていたことが明らかになった。検察は後に法廷文書の中で、キップフが娘の養育費として元妻に支払うべき約11万6000ドルの支払いを逃れるために自身の死を偽装したと主張した。
検察官が後に「他人から盗んで生計を立てるための十分な技術的知識を持つ連続ハッカー」と呼んだキプフは、ケンタッキー州サマーセットの自宅のインターネットを使用してハワイの死亡登録システムに直接接続するなど、一連のミスを犯し、最終的に連邦捜査官を彼の家に直接導くこととなった。
その結果、米国司法省は2023年11月下旬、キップフを一連のハッキング罪で刑事告発した。検察は、キップフが米国の3つの州と大手ホテルチェーンのベンダー2社のコンピューターシステムをハッキングしたと主張した。司法省のプレスリリースと同時公表された起訴状では、検察がキップフの行為を主張した多くの詳細が記載されていなかった。フォーブス誌は数日前、キップフがハワイ州保健局をハッキングしたと報じていた。
9月初旬、マンディアントのラーセン氏は、FBI特別捜査官アンドリュー・サトルニーノ氏、ケンタッキー州東部地区連邦検事補ケイト・ディラフ氏とともに、TechCrunchのインタビューに応じ、キプフ氏を発見し、法の裁きを受けさせた経緯を明かした。3人は、マンディアントのサイバーセキュリティカンファレンス「mWISE」での講演に先立ち、TechCrunchの取材に応じた。
ラーセン、サトルニーノ、ディエルフ、そして彼の事件の裁判資料によれば、キプフは複数の身元を持つ多作なハッカーだった。
サトルニーノ氏は、キプフ氏は「初期アクセス・ブローカー」だったと述べた。これは、システムに侵入し、そのシステムへのアクセスを他のサイバー犯罪者に売ろうとするハッカーのことだ。キプフ氏に対する捜索令状を裏付ける宣誓供述書の中で、FBI特別捜査官は、キプフ氏がフードデリバリーサービスから食品を購入するためにクレジットカード詐欺を犯し、2022年に逮捕されたこと、偽の社会保障番号を使ってローンを申請したこと、コンピューターに12枚以上の米国運転免許証を保存していたこと、そしてマリオットホテルのベンダーをハッキングしたことなどを記している。
キプフ氏がハワイでのハッキングで使用した認証情報は、おそらく情報窃取型マルウェアから入手したものと思われます。このマルウェアは匿名の医師のコンピュータに感染し、その後ハッカー向けのTelegramチャンネルにアップロードされました。ラーセン氏によると、キプフ氏は「GhostMarket09」というニックネームを使って認証情報窃取サービスを運営していたとのことです。
ラーセン氏によると、MandiantはGhostMarket09以外にも、キプフが様々なハッキングフォーラムやTelegramで使用していたニックネームをいくつか特定したという。「theelephantshow」「yelichanter」「ayohulk」などだ。ラーセン氏は、これらのニックネームのリストを基に、ハッキングフォーラム、半公開チャット、TelegramチャンネルからMandiantがスクレイピングして作成したデータベースを調べ、キプフが様々なオンラインペルソナで送信した数千件のメッセージを手作業で確認したという。
ラーセン氏は、マンディアント社は、フリーラディカルとゴーストマーケット09のペルソナが、同社がUNC3944(またはスキャッタード・スパイダー)と呼ぶ、MGMリゾーツのハッキングの背後にいるとされる活発なハッキングおよびサイバー犯罪グループと関連があり、「ザ・コム」として知られる一連の暴力犯罪の背後にあるより広範な犯罪組織とつながっていると特定したと述べた。
ラーセン氏によると、キプフはゴーストマーケット09として、運送大手UPSの盗んだ認証情報を「lopiu」または「lolitleu」という通称を使うコミュニティのメンバーとされる人物に提供したという。ラーセン氏によると、キプフはコミュニティのメンバーではなく、コミュニティを支えるサイバー犯罪エコシステムの一部だったという。
「彼はごく普通のハッカーだと思います。結果を恐れているようにも見えませんでした」とラーセン氏は語った。「彼は犯罪コミュニティの他の部分にも関わっていましたが、実際に彼が関わっていたのは、他の侵入を可能にするための認証情報を売ることだったのです。」
同時に、マンディアントには知らされていなかったが、FBIはダークウェブを監視し、法執行機関や民間部門と協力している非営利団体、全米サイバーフォレンジックトレーニングアライアンスから報告書を受け取っていた。その報告書には、ケンタッキー州にいるハッカーがダークウェブで使用していた一連のニックネームが含まれていた。
ラーセン氏と裁判所の文書によると、捜査がケンタッキー州にまで至ったのは、キプフ容疑者がハワイ州の死亡登録システムにアクセスする際に少なくとも一度はVPNを使うのを忘れていたようで、ケンタッキー州サマセットの自宅IPアドレスが公開されていたためだという。
その後、2023年5月、死亡登録簿のハッキングを調査していたハワイ州司法長官事務所は、ケンタッキー州司法長官事務所に、南東部の州の何者かが「死亡ワークシートを入力するシステムレベルの権限」を持つ本物の医師のログイン認証情報を使用してハワイの死亡登録システムにアクセスし、ジェシー・キプフという男性の死亡証明書を提出したと警告したと裁判所の文書で述べられている。
2023年7月13日、米国連邦捜査官はサマセットの自宅でキプフ氏を逮捕し、拘留した。その後、当局との面談でキプフ氏は一連のサイバー犯罪を自白し、そのおかげで5年間も定職に就けなかったと述べた。
「どうやってIPアドレスを漏らしたのですか?」と、インタビュアーはキップフ氏に尋ねた。キップフ氏がハワイのシステムに接続するために使用していた自宅のIPアドレスを指してのことだ。インタビューの一部記録によると、キップフ氏は「ただの怠惰…もうどうでもよくなってしまったんです」と答えた。キップフ氏は「もうどうでもよくなったんです」と言った。
実際、捜査の過程で、当局はキプフが同じ自宅IPアドレスを使って、2023年2月9日から5月22日の間に計1,423回も「マリオットのインターネットドメインと社内サーバーにアクセスし、データを抜き取ろうとした」ことを突き止めました。サトルニーノ氏によると、その目的は、サイバー犯罪者が利用するフォーラムで、これらのネットワークへのアクセスを他のハッカーに販売することだったとのことです。
キプフ氏はインタビューの中で、アリゾナ州、コネチカット州、テネシー州、バーモント州の死亡登録システムにアクセスし、どれほど簡単に登録できるか試してみたと述べたと、裁判所の文書には記されている。アリゾナ州の死亡登録システムでは、キプフ氏は「クラブ・ラングーン」(チーズ入りのパリパリの中華ワンタンの一種)を死者名として記載し、死亡証明書の申請に成功したことが、TechCrunchが確認した証明書のスクリーンショットから明らかになった。
しかし、彼には計画らしきものはあった。裁判所の文書によると、キプフは事情聴取に対し、偽の社会保障番号を使って偽造信用情報を作成し、死を偽装した後にそれを利用するつもりだったと語った。
裁判所の文書によると、ハッカーはハッキング被害者の個人情報をアルジェリア、ウクライナ、ロシアの人々に販売し、 マリオットのベンダーシステムへのアクセス情報をロシア人に提供したことも自白した。
サトルニーノ氏によると、FBIがキプフ容疑者のデバイスを調べたところ、彼の閲覧履歴の中に過去のグーグル検索が見つかり、養育費の支払いを回避する方法に関する情報を探していたことがわかったという。
最後に、キプフ氏は、マリオットホテルと提携している2つのベンダー、GuestTekとMilestoneへのハッキングでも告発されました。これらのハッキングでも、キプフ氏は自宅のIPアドレスを使用していました。
マンディアントとFBIがキプフのサイバー犯罪歴に関する膨大な証拠と、当局への聴取における自白が功を奏したのか、キプフは検察との司法取引に合意した。キプフは、ハッキングによって政府および企業のネットワークに約8万ドルの損害を与えたこと、そして元妻の未払い養育費として11万6000ドルを支払ったことを正式に認めた。また、ハワイでのハッキング事件で医師の個人情報を盗用し、死亡証明書を作成したとして、個人情報窃盗罪も認めた。
「被告は連続ハッカーであり、個人識別情報を窃取し、企業や政府機関の保護されたコンピュータネットワークに容赦なく侵入している」と、ディラフ氏はキプフ氏に懲役7年の判決を下すよう求める覚書に記した。「彼は、金銭面でも、技術的対応の面でも、企業や政府機関の被害者に甚大な損害を与えた。」
ディラフ氏はさらにこう述べた。「養育費の支払いを逃れるために自殺を図ったことで、キプフ氏は11万6000ドル以上の養育費を滞納している娘とその母親を再び被害者にし続けている。」
キプフ氏の弁護士トーマス・ミセリ氏が提出した量刑覚書の中で、弁護士はキプフ氏が「自身の行為の重大性を理解しており、否定していない」と認めた。テッククランチのコメント要請に応じなかったミセリ氏は当時、キプフ氏は妄想性障害と統合失調症の傾向があると診断されており、イラクでの兵役を終えた後、彼の「精神状態は悪化し」、それが「薬物依存を悪化させた」と記していた。
キプフは懲役81ヶ月、つまり7年弱の刑を言い渡された。8月に司法省が判決を発表したプレスリリースによると、連邦法に基づき、キプフは刑期の少なくとも85%、つまり5年以上を服役しなければならない。
