ちょうどこの信じられないような事件について読んだばかりで、どうしても共有したくなった。まだ私の頭を離れないからだ。フロリダ出身の17歳の少年が、Twitterの正面玄関から入り込み、地球上で最も権力のある人々から盗みを働いた。高度なゼロデイ攻撃や何か特別な手法を使ったわけではなく、ただのソーシャルエンジニアリングと純粋な大胆さだけだった。

では、どうやってやったのか。グラハム・アイバン・クラークは、基本的に何も持たずにタンパで貧乏に育った。でも諦めずに、早い段階からハッキングに手を出した。最初は小さな詐欺から始めて—Minecraftで人を騙したり、ゲーム内アイテムを盗んだり、その後YouTubeチャンネルのハッキングに進んだ。15歳の頃にはすでにOGUsersという、盗まれたソーシャルメディアアカウントを取引する悪名高いフォーラムに深く関わっていた。コーディングスキルは必要なかった。魅力、圧力、そして人を操る方法を知っているだけだった。

次に彼はSIMスワッピングを思いついた。これが一番怖い部分だ。彼は電話会社に電話をかけ、本人になりすまし、アカウント所有者だと納得させると、すぐにメールや暗号資産ウォレットにアクセスできた。あるベンチャーキャピタリストのグレッグ・ベネットは、気づいたら100万ドル以上のビットコインが消えていた。ハッカーたちは家族を脅して、さらに多くの金を払わせた。

しかし、グラハムはもっと大きなことを狙った。2020年までに、彼は18歳になる前の最後の一手を準備していた。COVIDのロックダウン中、Twitterの社員は在宅勤務をしていた。これが彼のチャンスだった。彼ともう一人の少年はITサポートを装い、社員に偽のログインページを送り込み、ソーシャルエンジニアリングで上層部までたどり着いた。そして、神モードアクセスを持つアカウントを見つけた。突然、2人の少年が世界で最も権威のある認証済みアカウント130をコントロールした。

2020年7月15日午後8時に事件は起きた。イーロン・マスク、オバマ、ジェフ・ベゾス、アップルからのツイートが次々と流れた—「ビットコインを送れば倍返し」などと。数分以内に10万BTC以上が彼らのウォレットに流入した。インターネットは大騒ぎになった。でも、実はこれだけではなかった。彼らは市場を崩壊させたり、プライベートDMを漏らしたり、偽の戦争警報を拡散したりもできたはずだ。それでも彼らはただ暗号資産を稼いだだけだった。まさに心理戦だった。

FBIは2週間でIPログとDiscordのメッセージから彼を捕まえた。グラハムには30の重罪が科され、最大210年の刑期もあり得た。しかし、未成年だったため、少年院での3年と保護観察に減刑された。彼がTwitterをハックしたのは17歳のとき。釈放されたのは20歳のときだった。今も裕福で、手が届かない存在だ。

私が驚くのは、今の皮肉だ。彼は、システムを破る必要はなく、運営者を騙せればいいと証明したことだ。ソーシャルエンジニアリングは、セキュリティを常に上回る。なぜなら、人間こそが最も弱いリンクだからだ。そして今日のXを見ると、あの頃のGrahamを金持ちにしたのと同じ暗号詐欺が氾濫している。心理戦は今も通用する。

本当の教訓は、Grahamが天才ハッカーだったわけではないということだ。恐怖と欲望と信頼こそが、今も地球上で最も簡単に操れるものだということだ。緊急性を信じてはいけない、資格情報を共有してはいけない、認証済みアカウントが本当にその人だと決めつけてはいけない。Graham Ivan Clarkは、最大のハッキングは技術的なものではなく、人間の弱さにあることを私たちに示したのだ。