世界最大の不倫サイト「Ashley Madison」から情報流出 ハッカーの「暴露」に怯える利用者たち

江添 佳代子

August 5, 2015 08:00
by 江添 佳代子

不倫のパートナーを求める既婚者を対象とした出会い系サイト「Ashley Madison(アシュレイ・マディソン)」が、Impact Team を名乗るハッカーからサイバー攻撃を受け、会員の個人情報が盗まれたようだ。この事件は世界中で報道され、同サイトを運営するAvid Life Media社(以下ALM)のあるカナダや、登録会員数が最も多い米国では、ニュース番組や新聞で大きく取り上げられるなど、大きな騒ぎとなっている。

一部のメディアでは、スキャンダラスで間抜けな事件といった雰囲気でこの話を伝えている。しかし、このハッキングで盗まれた可能性のある個人情報の数は、サイバー犯罪史上に残る規模で(媒体によって異なるが、最大で3700万人分と報道されている)、さらに流出した情報の内容のデリケートさ、そして犯人の主張も独特であるため、一笑に付すべきインシデントではない。

事件発覚の経緯

このALMの侵害事件を最初に報じたのは、過去にTargetの情報漏洩などの大事件を暴き、いまやすっかり有名人となったセキュリティ・ジャーナリストのブライアン・クレブスだ。クレブスは7月19日のKrebs on Securityで以下のように記している。

「不倫サイトAshley Madisonから盗まれた大規模なデータのキャッシュが、一個人あるいは一グループによりオンラインで公開されている」「(犯人は)同社のユーザーデータベース、財務記録、その他の機密情報を完全に侵害したと主張している」「いまだ明かされていない個人情報は、『人生は短い。不倫をしましょう』をモットーとしている同サービスの3700万人のユーザーに多大なダメージを与える可能性がある」(筆者注:オンラインで公開されたのは、ごく一部の会員の部分的なデータだった)

このハッキングに気づいたクレブスは、事件の解明を求めてALMと直接的にコンタクトを取り、同社もクレブスの指摘を否定しなかった。そしてクレブスが事件を伝えた翌日の7月20日、ALMも今回の事件について発表を行った。

2ヵ月前にも別の出会い系サイトが被害に

上記の記事でクレブスが指摘しているように、この事件の2ヵ月前には、別の出会い系サイト「AdultFriendFinder」から350万件の会員情報が盗まれ、ダークウェブで公開されるという事件が起きていた。

報道によれば、盗まれたデータは会員のメールアドレス、ユーザー名、パスワード、生年月日、郵便番号、そして性的嗜好に関する具体的な情報で、クレジットカードの番号は含まれていなかったという。しかし「軽めのボンデージと目隠しを使ったプレイを希望」といった恥ずかしい情報よりは、再発行可能なクレジットカード情報を盗まれた方がマシだと感じる会員もいただろう。

この事件では、いわゆる「お堅い仕事」をしている数人の会員に関する簡素な情報が、Twitterや掲示板を通して出回った。例えば「DCポリスアカデミーのK司令官が、勤務時間中に職場のメールアドレスを利用してAdultFriendFinderを閲覧していた」、あるいは「海軍情報局のメイポート海軍補給基地に勤務するR氏も、同サービスを利用していた」といった具合である。ここでは実名を伏せているが、彼らの実名とサービス名で検索すれば、その情報が中国語圏やロシア語圏のサイトにまで広がっている様子がわかる。

ちなみに、この事件を起こしたハッカーは同サービスを運営する企業に対し、データベース全体の身代金として750ビットコイン(当時の相場で約19万ドル)を要求したという噂が伝えられているが、その信憑性のほどは定かではない。

ALMに突きつけられたImpact Teamの要求とは?

このAdultFriendFinderの情報漏洩が発覚した頃から、一部のウォッチャーやジャーナリストは、「次に標的となるのはALMではないか」と予想していた。なにしろAshley Madisonの会員数はAdultFriendFinderとはケタ違いで、出会い系サイト業界では世界第2位の規模を誇っている。そのうえAshley Madisonは「不倫専用」をモットーとしているため、多くの会員が家族を欺いているからだ。

その情報が開示された場合、配偶者から裁判を起こされ、家庭や資産や社会的信頼を一度に失う可能性もある。そんな会員を、Ashley Madisonは数千万人の規模で抱えている。さらにALMは「Established Men(性を楽しみたい男性専用、高所得者限定)」や「Cougar Life(若い男性との出会いを求める中年女性専用)」などの姉妹サイトも運営しているため、同社のサーバーには極度にデリケートな情報が詰まっている。

そしてAdultFriendFinderの漏洩事件から約2ヵ月後、その予想通りにALMはハッキングされた。しかしハッカーがALMに要求したのは、身代金ではなく「サイトの永久閉鎖」だった。Impact Teamが残した長いメッセージには、以下のような脅迫が記されている。

「AM(Ashley Madison)とEM(Established Men)は、ただちに、永久に閉鎖せよ」「この要求が飲まれなかった場合、我々は全顧客の記録、プロフィール、彼らの性的妄想、ヌード写真、会話、カード決済、実名、住所、そして従業員に関する文書とメールアドレスを公開する」

Impact Teamが残したメッセージ (Krebs on securityより引用)

この事件が起こる前のAshley Madisonは、会員の登録情報の抹消を19ドルで受け付けていた(価格は国によって異なる)。しかしImpact Teamの主張によれば、ALMは2014年、この完全抹消(Full Delete)サービスだけで170万ドルの収益を得たにも関わらず、19ドルを支払った各退会会員の情報をサーバーに残したままだったという。

不倫を非難する倫理的な目的だったのか、あるいは同サービスの不正を暴くことだったのか、攻撃の動機はいまだ不明だが、いずれにせよImpact TeamはALMに身代金を要求していないらしい。だからといって、このハッキングが金銭目的ではなかったと決めつけるのは早計だろう。なにしろ犯人は、失いたくない財産(家族や資産や稼ぎのよい仕事)を持った数千万人の、極めてデリケートな情報と連絡先を手に入れているのだ。その犠牲者に直接的なコンタクトを取れば、犯人は身代金を要求できる。さらに悪いことに、犯人が持っている「人質」はコピーできるため、確実に取り戻す手立てがない。つまり、その恐喝は何度でも行うことができる。いまやImpact Teamは、会員一人ひとりの「社会生活」を握っているとも言える。

ALMは現在、退会を望む会員に対し、これまで19ドルで受け付けていた登録情報の抹消を無料で行うと申し出ている。しかしImpact Teamの主張が真実であるなら、すでに会員のデータは全て盗み出されており、抹消自体にはあまり意味がないようにも思われる。おまけに、たとえ抹消サービスを利用したとしても、自分のデータがサーバーから本当に削除されたのか? という不安が拭えない会員もいるだろう。

出会い系サイトを利用するリスク

一方、さまざまなSNSやブログ、ニュース記事のコメント欄などを見ても、情報を漏洩された利用者に同情する意見はほとんど見られず、むしろ「自業自得」と蔑むようなコメントが並んでいる。この反応から想像できるのは、被害者が受ける社会的なダメージの大きさだ。彼らの多くは、いまも眠れぬ夜を過ごしているだろう。もしも本当にImpact Teamが、すべての情報をインターネットで公開したなら、自殺する人も出るのではないかと危惧する声もある。

ともあれ、他人に見られて困る情報は、どこにも登録しないこと、誰にも送らないことが大前提だ。不特定多数の目に触れたとき、自分が不利な立場に立たされるような情報を扱う際には、どんな人物も、どんな組織も信用するべきではない。それは、リベンジポルノやセレブのヌード流出などの例でも繰り返されている教訓だ。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…