ティーンエイジャーのエリス・ピンスキーが仕掛けた$24 百万ドルのSIMスワップ強盗の全貌

15歳にして、エリス・ピンスキーは未成年者に帰せられる最大規模のデジタル窃盗事件の一つを指揮した。彼と共謀者たちは、SIMスワップ攻撃を組織的に行い、電話認証システムを乗っ取って暗号通貨ウォレットにアクセスし、最終的に2,400万ドル相当のデジタル資産を盗み出した。この計画の大胆さは、従来の犯罪ネットワークを持たないティーンエイジャーによる実行であったため、連邦捜査官の注目を集め、通信インフラや暗号通貨のセキュリティの脆弱性について議論を呼んだ。

この事件は、エリス・ピンスキーと仲間たちが暗号投資家のマイケル・ターピンを標的にしたことから始まった。彼らは古典的な通信業界の脆弱性を突く手法を用いた：通信事業者に賄賂を渡し、ターピンの電話番号を自分たちの管理下にあるデバイスに転送させたのだ。番号を掌握すると、エリス・ピンスキーとチームは自動化されたスクリプトを使い、ターピンのアカウントからメール、クラウドストレージ、そして暗号通貨のログイン情報を体系的に抽出した。

技術的仕組み：SIMスワップが暗号資産の武器となる仕組み

SIMスワップは、根本的には低技術の認証回避手法である。犯人たちは、電話を用いた二段階認証—オンラインアカウントを保護するために設計されたもの—は、ターゲットの電話番号を掌握すれば回避できることを見抜いた。通信事業者の担当者に賄賂を渡し、被害者の番号を新しいSIMカードに移行させることで、攻撃者はSMSコードにアクセスし、パスワードリセット機能を解除した。メールアカウントに侵入すれば、ウォレットの認証情報も入手可能となる。EthereumやBitcoinといった暗号通貨のアカウントに関しては、ほぼ完全な乗っ取りが可能となった。

エリス・ピンスキーの運営は、最初にターピンのアカウントにあるEthereumの資産が9億ドル相当に達していることを発見したが、これらは追加の認証層によって守られていた。彼らは方向転換し、アクセス可能なデジタル資産2,400万ドルを特定し、自分たちの管理下にあるアカウントへと移行した。盗まれた資金は、その時点で記録された最大の個人SIMスワップ盗難事件となった。

ハッカーフォーラムから連邦捜査へ

エリス・ピンスキーのサイバー犯罪への道は、よくあるパターンをたどった。ニューヨーク市で育ち、幼い頃からオンラインの技術やハッキングコミュニティに触れていた。10代前半には、学術的なハッキングフォーラムからより本格的な犯罪活動へと移行し、最初は盗んだソーシャルメディアのハンドル名を金銭化し、その後、SIMスワップを利用した直接的な暗号通貨窃盗へと進んだ。

この運営は、即座に大きな富をもたらした。エリス・ピンスキーと仲間たちは高級時計やナイトライフのアクセス権などを購入し、運営の安全性を保とうとした。しかし、協力者たちが成功を秘密にできず、すぐに崩壊した。共謀者のニコラス・トルグリアは、盗難をオンラインで自慢し、Coinbaseの取引に自分の本名をリンクさせるという重大なミスを犯した。連邦捜査官はブロックチェーンの記録や銀行取引を追跡し、トルグリアは起訴され、投獄された。

影響とエリス・ピンスキーの今後

エリス・ピンスキーは重い連邦の罪状に直面したが、当時15歳だったことが重要な法的要素となった。最大の刑罰は免れたものの、マイケル・ターピンは民事訴訟を起こし、2,200万ドルの判決を獲得した。この訴訟は、エリス・ピンスキーが保有していた資産をはるかに超えており、彼に何十年もの返済義務を負わせる結果となった。

裁判外でも追加の影響があった。ターピンや他の被害者は、エリス・ピンスキーとそのグループによる物理的な安全脅威を経験した。ある事件では、武装した人物が被害者の自宅に侵入し、デジタル犯罪がしばしば物理的な危険にエスカレートすることを示した。

現在、エリス・ピンスキーはニューヨーク大学に在籍し、哲学とコンピュータサイエンスを学んでいる。彼は公に、正当な技術事業を立ち上げ、民事判決の履行に向けて努力する意向を示している。これは本当の改革なのか、それとも戦略的な再配置なのかは、サイバーセキュリティのコミュニティ内で議論の的となっている。

エリス・ピンスキーの事件は、現代の通信インフラに依然として存在するSIMスワップの脆弱性に対する懸念を浮き彫りにし、認証に基づく攻撃から暗号資産を守るための緊急の課題を提起した。彼の物語は、若年層による高度なサイバー犯罪の警鐘であるとともに、その窃盗を可能にしたセキュリティの隙間を告発するものである。