「Ashley Madison」狂騒曲 果たしてALM社はサイバー犯罪の被害者か?

江添 佳代子

October 5, 2015 08:00
by 江添 佳代子

世界最大の不倫サイト「Ashley Madison」の情報漏洩をメディアが大きく報じ、ついには自殺者まで出る騒ぎとなった一方で、Impact Teamに会員情報を盗まれたAvid Life Media社(以下ALM社)は、まるで何事も起こらなかったかのようにサービスを続けた。会員のデータを盗難されて脅迫を受けた7月にも、そのデータを漏洩された8月にも、Ashley Madisonのトップページに変化はなく、そこにはサイトの安全性を表すロゴが示されたままで、事件に関する案内は何も掲載されなかった。

とはいえ、ALM社が完全に無視を決め込んでいたわけでもない。3000万件以上の個人情報が公開されて大騒ぎとなった8月18日には、プレス向けの声明文が発表されている。その内容の概略は下記の通りだ。

攻撃に気づいた7月から、我々は事件の調査を行うべく専門家の力を借り、またカナダや米国の法執行機関と協働してきた。攻撃者は現在、盗んだデータを大量に公開したと主張している。我々は、そのデータの真偽を確認し、この不法行為の調査や監視、公開されたデータの削除、そしてサービス運営の続行に注力していく。

今回の事件は、個人的な美徳や道徳を全世界に強制したがる者が、合法的なオンライン活動をする人々を襲った犯罪行為である。それに見合った措置がとられるよう、我々は法執行機関への協力を続ける。

昨今では様々なハッキング事件が頻発している。我々はその違法行為に怒り続けるべきだ。我々は犯人を起訴できるものと確信している。有力な情報をお持ちの方は、当社にメールを。

ここで驚かされるのは、会員に対するお詫びや案内がないことだ。どこで読み落としたのかと思うほど、見事に1行も書かれていない。この「我々は被害者だ、何も悪くない、非難すべき相手はImpact Teamのほうだ」という、まるで開き直ったかのような主張は、少し前に大規模なハッキングを受けて自社商売の実態を暴かれ、世界中の国々から批判されたHacking Teamの言い分にも似ている。

ちなみに「北米では謝罪すると裁判で立場が悪くなるので、企業がこのような対応をするのは普通だ」ということはない。まず、カナダ人は米国人から揶揄されるほど頻繁に謝る。カナダでは交通事故を起こした際、「I’m sorry」と言っても不利な証言とはならない。そして2013年の年末、米国の大手小売店「Target」から顧客のデータが大量に盗まれるという事件が起きたときには、同社のCEOがテレビ番組のロングインタビューに出演し、憔悴した表情でひたすら顧客に陳謝している。

Impact Teamが訴えたALM社の不正

これほど大胆な事件を起こしたImpact Teamが、ALM社の声明を読んで自らの罪深さを悔いたり、逮捕を恐れて活動を自重したりするはずもなかった。むしろ、同社の対応のふてぶてしい態度は、火に油を注ぐ結果となったに違いない。この声明から2日後の8月20日、Impact Teamは、ALM社から盗んだ「新たなデータの山」をネットに公開した。このとき流出したデータの量は、前回(9.7GB分)の約2倍、約19GBだった。

ここで暴露されたデータの主な内容は、ALM社のWebサイトのソースコードや、同社のメールのアーカイブだ。このうち「ALM社の最高経営責任者ノエル・ビダーマン氏の社内メールが含まれる13GB分のデータ」は破損していることが判明したのだが、それは間もなく修正版の新しいデータに置き換えられた。この漏洩の際、Impact Teamは「なあノエル、いまなら(漏洩したデータが)本物だって認められるよな?」とのメッセージを残している。破損ファイルへの素早い対応、そしてCEOに向けたメッセージからは、ALM社や幹部を追い込んでサービスを閉鎖させようとするImpact Teamの強い意志が感じられる。

さらに翌21日には『MotherBoard』誌が、メールを通したインタビューに対するImpact Teamの回答を掲載した。その内容はなかなか衝撃的だ。ALM社のセキュリティについて尋ねられたImpact Teamは、「ダメだ。誰も観察してない。セキュリティなし。やっていたのはネットワークのセグメント化だけ。全てのサーバーで、インターネットからVPNまで、rootを得るのに『Pass1234』のパスワードを使えた」「我々は、全く気づかれずに攻撃しようと力をつくして侵入したのに、(いざ侵入してみると)迂回するべきものが何もなかった」と答えた。

また「他に握っているデータは?」との問いに対しては、「従業員のメールと、内部ネットワークの文書が300GB。Ashley Madisonユーザーの数万点の写真と、一部のユーザーのチャットやメッセージ。写真の3分の1は、ユーザーのDick(男性器の卑語)の写真だ。それを晒すつもりはない。ほとんどの従業員のメールも晒さない。たぶん他の幹部のデータにするだろう」と回答している。

そしてALM社に関しては、次のように激しく非難した。「彼らは詐欺行為で年間1億ドルを稼いでいる。そのサービスを閉鎖しなかったのは、それほど驚くべきことではない。いまなら弁護士たちが閉鎖できるだろう」「彼らは政治家のように嘘を言い続ける。クレジットカードの情報は保管しない、メールは保管しないと語ったが、彼らの支払い処理のプロセスはカード番号や請求先住所などの大部分のデータを格納しており、簡単に参照できる状態だった。我々は、そのデータを流出させた」「我々はユーザーを脅さなかった! ユーザーを脅したのはALM社だ! ALM社は、中毒性を濫用する麻薬の売人のようなものだ」

この「いまなら弁護士が閉鎖できる」というくだりは、ユーザーが(あるいは市民が)ALM社を訴える可能性を示唆した発言だろう。実際、この記事が掲載された3日後の24日には、カナダの2つの法律事務所が、ALM社に対して5億8700万カナダドル(約530億円)の支払いを求める集団訴訟を起こしている。

このインタビューでImpact Teamが言及したのは、「不倫を推奨するAshley Madisonの不道徳さ」ではなく、ほぼ全てが「ALM社のビジネスの不正」だった。どうやら彼らの主張する正義は、ユーザーとの約束を守らない同社の不誠実さへの怒りに根ざしたものであったようだ。

ALM社が提示した50万カナダドルの報奨金

Impact Teamのインタビュー記事が公開されてから4日後の8月24日、ALM社は「犯人の逮捕、起訴に繋がる有力な情報」の提供者に50万カナダドル(約4500万円)の報奨金を支払うという意向を、トロント警察を通して発表した。つまり、ALM社が初めて「具体的な支払い」を公に語ったのは、会員に対する補償の提示ではなく、また現時点で保管している会員データのセキュリティの見直しに費やす金額でもなく、犯人の起訴に向けたものだったということになる。

だが現在のところ、犯人の身元に関してそれほど有力な情報は報告されていないようだ。そしてメディアの報道内容が「犯人捜し」にシフトするということもなかった。そもそもセキュリティ侵害の事件は、攻撃元の特定が極めて困難である。数千万円の報奨金で犯人が分かるぐらいなら、政治スパイ、産業スパイの活動に悩まされている各国政府も苦労はしないだろう。

例外としては、この事件を最初に暴いたセキュリティ研究者のブライアン・クレブス(第1回参照)が8月26日のブログで、「『deuszu』というTwitterアカウントを持つハッカーが、この事件に関与している可能性が高い」と示唆したことが上げられる。しかし英ITメディア『The Register』は「あまりに根拠が薄い」として、彼の説に異を唱えている

(続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…