キムウルフ・ボットネットの黒幕「Dort」正体に迫る

キムウルフ・ボットネットの台頭とDortの役割

2026年1月初旬、セキュリティ研究者が公開した脆弱性を悪用して構築された「キムウルフ」は、世界最大かつ最も破壊的なボットネットとして知られるようになった。このボットネットを実質的に支配していたのが、ハンドルネーム「Dort」を名乗る人物だ。Dortは、研究者や筆者に対する分散型サービス拒否（DDoS）攻撃、情報漏洩（ドキシング）、メール攻撃を指揮し、さらに研究者の自宅にSWATチームを派遣させる事態にまで発展させた。

公的情報から見えるDortのプロフィール

公開された情報を基にDortの正体を探ると、以下のようなプロフィールが浮かび上がる。

1. 基本情報と初期の活動

• 出身地・年齢：カナダ出身、2003年8月生まれの10代（2026年時点）
• 初期のハンドルネーム：「CPacket」「M1ce」
• メールアドレス：[email protected]

2. オープンソース・インテリジェンス（OSINT）による追跡

OSINT Industriesの調査によると、CPacketというユーザー名でGitHubアカウントが確認されており、2017年に[email protected]で登録された。また、サイバーインテリジェンス企業Intel 471は、同メールアドレスが2015年から2019年にかけて複数のサイバー犯罪フォーラムで使用されていたと報告している。

3. サイバー犯罪フォーラムでの活動履歴

• Nulled（2015年）：ユーザー名「Uubuntuu」で登録
• Cracked（2015年）：ユーザー名「Dorted」で登録
• 登録IPアドレス：カナダのISP「Rogers Canada」の99.241.112.24

4. ゲームハッキングから本格的犯罪への転身

Dortは、Microsoftのゲーム「Minecraft」の熱心なプレイヤーとして知られ、チートツール「Dortware」を開発し注目を集めた。しかし、その後Minecraftのハッキングから一転、より深刻な犯罪行為に関与するようになった。

5. LAPSUS$グループとの関与

2022年3月には、大規模なサイバー犯罪グループ「LAPSUS$」のチャットサーバーで「DortDev」というハンドルネームが確認された。Dortは、一時的なメールアドレスを登録するサービスや、CAPTCHA認証を回避するツール「Dortsolver」を提供していた。

6. 共犯者「Qoft」との関係

サイバーインテリジェンス企業Flashpointによると、Dortは「Qoft」というハンドルネームのハッカーと共同でこれらのサービスを開発していた。Qoftは2022年のSIM Land（SIMスワップやアカウント乗っ取りに特化したTelegramチャンネル）上の投稿で、以下のように発言している。

「俺、マジでJacob（Dort）と一緒に仕事してるだけだよ」
Qoftは別のユーザーへの返信でこう述べ、Dortを「Jacob」と呼んでいる。

さらにQoftは、2枚の盗難クレジットカードデータを悪用してMicrosoft Xbox Game Passのアカウントを大量に不正取得し、25万ドル以上の被害を出したと自慢していた。

7. Jacob Butlerという正体の可能性

パスワード追跡サービスConstella Intelligenceの調査により、[email protected]で使用されていたパスワードが、[email protected]でも再利用されていたことが判明した。2020年のドキシング情報と照合すると、[email protected]は2015年にMinecraft関連の複数のドメインを登録しており、登録者はカナダ・オタワ在住のJacob Butler、電話番号は613-909-9727であった。

DomainTools.comの調査によると、このメールアドレスは2015年にNulledフォーラムにアカウントを登録する際にも使用されていた。これにより、Dortの正体がJacob Butlerである可能性が高まっている。

まとめ：Dortの正体と今後の動向

公的情報を基に分析すると、Dortはカナダ出身の若者で、Minecraftのハッキングから始まり、サイバー犯罪へと活動を拡大したと考えられる。特にLAPSUS$グループとの関与や、Qoftとの共同事業を通じて、ボットネットの構築や犯罪行為を主導していた可能性が高い。今後、法執行機関による捜査が進む中で、さらなる実態解明が期待される。