セキュリティジャーナリストのBrian Krebs氏が、世界最大かつ最も破壊的なボットネット「Kimwolf」を操る人物「Dort」の正体を、公開情報をもとに徹底調査した記事です。2026年1月にKimwolfの脆弱性が公開されて以降、Dortは研究者やKrebs氏に対してDDoS攻撃、個人情報晒し(ドキシング)、さらにはSWAT部隊を送り込む「スワッティング」まで行っており、その執拗な報復行為の全容と、OSINT(公開情報調査)による身元特定の過程が詳細に記されています。
この記事のポイント
- 世界最大のボットネット「Kimwolf」の管理者「Dort」の身元が、パスワードの使い回しやメールアドレスの関連付けなどのOSINT手法で追跡された
- Dortは脆弱性を公開した研究者に対し、DDoS攻撃・ドキシング・スワッティングなど組織的な報復攻撃を実行
- 調査の結果、カナダ・オタワ在住の若者Jacob Butler氏との関連が浮上したが、本人は2021年以降の関与を否定している
Kimwolfボットネットとは
Kimwolfは2026年初頭時点で「世界最大かつ最も破壊的」と評されるボットネットです。2026年1月、セキュリティ研究者のBenjamin Brundage氏がKimwolfの構築に利用された脆弱性を公開したことで、その存在が広く知られるようになりました。ボットネットとは、マルウェアに感染した大量のコンピュータを遠隔操作するネットワークのことで、DDoS攻撃(分散型サービス妨害攻撃)などに悪用されます。Kimwolfはその規模と攻撃力において、過去のボットネットを凌駕する存在とされています。
OSINT による身元特定の過程
「Dort」の正体を追うために用いられたのは、公開情報に基づく調査手法(OSINT)です。まず、2020年に流出した情報(ドキシング資料)から、Dortが2003年8月生まれのカナダ人ティーンエイジャーであり、「CPacket」や「M1ce」といった別名を使用していたことが判明しました。
さらに調査を進めると、GitHubアカウントに紐づくメールアドレス「[email protected]」が特定され、サイバー犯罪フォーラム「Nulled」や「Cracked」での活動も確認されました。カナダの大手ISP「Rogers」に属するIPアドレス(99.241.112.24)も関連付けられています。
決定的だったのはパスワードの使い回しの分析です。これにより「[email protected]」というメールアドレスが浮上し、カナダ・オタワ在住のJacob Butler氏という人物に繋がりました。2015年頃のMinecraft関連ドメインの登録情報、オタワの電話番号(613-909-9727)、さらにオタワ・カールトン地区教育委員会のメールアドレス([email protected])やGitHubアカウント「MemeClient」など、複数の証拠が一人の人物を指し示していました。
ボットネット以前の犯罪活動
DortはKimwolfを操る以前から、サイバー犯罪の世界で活動していました。Minecraftのチートソフト「Dortware」やCAPTCHAバイパスツール「Dortsolver」を開発し、ハッカー「Qoft」と組んでXbox Game Passアカウントの窃盗で25万ドル(約3,750万円)以上を不正に得ていたとされます。また、アカウント乗っ取りスキームを扱うTelegramチャンネル「SIM Land」でもサービスを宣伝していました。Minecraftのチート開発という比較的軽微な活動から、大規模なボットネット運用へとエスカレートしていった経緯が見て取れます。
研究者への執拗な報復攻撃
2026年1月にKrebsOnSecurityがKimwolfの脆弱性に関する記事を公開した後、Dortは組織的な報復キャンペーンを展開しました。脆弱性を公開した研究者Benjamin Brundage氏とKrebs氏に対して、大規模なDDoS攻撃を仕掛けるとともに、個人情報をインターネット上に晒す「ドキシング」を実行。Discordにはハラスメント専用のサーバーまで設置されました。
最も深刻だったのは「スワッティング」です。これは虚偽の緊急通報によってSWAT部隊を標的の自宅に急行させる極めて危険な嫌がらせ行為で、実際にBrundage氏の自宅にSWATチームが派遣される事態となりました。さらにSoundCloudには「ディストラック」(侮辱的な楽曲)まで投稿されるなど、その報復は執拗かつ多面的でした。
Butler氏の反論と矛盾
Krebs氏の取材に対し、Jacob Butler氏は2021年に自身が複数回のスワッティング被害を受けたことをきっかけにオンライン活動から離れたと主張しました。過去にMinecraftのチートツールを作成したことは認めましたが、2021年以降の活動への関与は否定し、アカウントの乗っ取りや音声クローニング(声の偽造)による「なりすまし」の可能性を示唆しました。
しかし、この主張には疑問点が残ります。Krebs氏との電話での会話の音声と、過去のプログラミングコンテスト「Clash of Code」の録音を比較分析した結果、音声に一貫性(連続性)が認められ、Butler氏の否定と矛盾する結果が示されました。
知っておくと便利なTips
- パスワードの使い回しは最大のリスク要因の一つ。今回の調査でもパスワードの再利用がアカウント間の関連付けの決め手となった。パスワードマネージャーの利用が不可欠
- OSINT(公開情報調査)は法執行機関だけでなくジャーナリストも活用する強力な手法。ドメイン登録情報、GitHubの公開メール、フォーラムの投稿履歴など、断片的な情報が組み合わさることで個人を特定できてしまう
- スワッティングは命に関わる犯罪行為。米国では実際に死者も出ており、重罪として厳しく罰せられる
まとめ
本記事は、世界最大のボットネット「Kimwolf」を操る人物「Dort」の正体を、公開情報の丹念な調査によって追跡した調査報道です。パスワードの使い回し、メールアドレスの関連付け、ドメイン登録情報、教育機関のメールアドレスなど、一見無関係に見える情報の断片が繋ぎ合わされることで、一人の人物像が浮かび上がる過程は、OSINTの威力を如実に示しています。同時に、脆弱性を公開した研究者に対するDDoS・ドキシング・スワッティングという報復攻撃の実態は、セキュリティ研究者が直面するリスクの深刻さを改めて突きつけるものです。サイバーセキュリティに関わるすべての人にとって、防御側の勇気と、攻撃者の追跡手法の両面で示唆に富む記事と言えるでしょう。
📎 元記事: https://krebsonsecurity.com/2026/02/who-is-the-kimwolf-botmaster-dort/
コメント