世界最大の不倫サイト「Ashley Madison」情報流出事件の余波

江添 佳代子

September 17, 2015 10:30
by 江添 佳代子

今年の7月、「人生は短い。不倫をしましょう」と謳う出会い系サイト「Ashley Madison」のサーバーから大量の情報が盗み出された。詳しい経緯は前回の記事をご覧いただきたい。

Impact Teamを名乗る攻撃者は7月、Ashley Madisonを運営するAvid Life Media(以下ALM社)のサーバーから盗み出したデータのごく一部を公開すると共に、同社に対してサービスの閉鎖を求め、「この要求が受け入れられなかった場合、会員たちの極めてプライベートなデータをオンラインに晒す」と脅迫していた。

そしてImpact Teamは8月18日、取引に応じなかった同社に「時間切れ」を伝え、会員情報の公開に踏み切った。この流出でダークネットに晒された会員のアカウント数は約3200万件(一説によれば3300万件)。9.7GB分ものデータには、会員の氏名、住所、メールアドレス、7年分のクレジットカードの取引記録、個人的な性的嗜好、また一部にはGPSのロケーション情報なども含まれていた。

報道する北米メディアと、求める読者

北米では、一般紙から経済紙まで様々なニュースサイトが、この大規模な流出事件をまるで待ち構えていたかのような素早さで一斉に報じた。それらの記事の多くには「ついにAshley Madisonの会員情報が流出!」と派手に見出しがつけられたが、一方で「まだ流出したデータが本物かどうかはわからない」と慎重な見解を示す媒体もあった。しかし、その後の調べにより「本物のデータである可能性が極めて高い」という見方が広まった。決定打となったのは、今回の事件を最初に報じたセキュリティ専門家Brian Krebs氏の「すべては、それが本物のデータであることを示している」との見解だろう。

このとき多くのメディアは、ALM社の対応や犯人の正体よりも、「Ashley Madisonを利用していた会員は、どのような人々だったのか?」という話題に焦点を当て、ダークネットに公開されたデータの山から、被害者の実態を暴こうとした。それは読者のニーズに、極めて素直に応えた報道だったといえるだろう。

とりわけ、「Ashley Madisonのアカウントを取得していた政府や軍の関係者は1万5000人以上にのぼる」というデータは、流出事件の直後から派手に、半ば面白おかしく取り上げられて一気に拡散した。この数値は、「t0x0pg」のハンドルを持つ人物が、いち早くPastebinで公開したリストによるもので、それはアクセス記録から得られた情報ではなく、単に「.gov」「.mil」ドメインのメールアドレスで登録を行われているアカウントの数を数えたものだった。

つまりプライベートのアドレスを使うことも、フリーメールを取得することもなく、「国から発行されているアドレス」を利用して不倫専門の出会い系サイトに会員登録した、信じがたいほど迂闊な政府や軍の関係者が1万5000人いたということになる。それよりもはるかに多くの人々が、同じサービスに登録していたはずだと考えるのが道理だろう。また「家族に知られないように」職場のアドレスを使ったのであれば、勤務時間中サービスを利用していた可能性も高そうだ。

政府や軍のメールアドレスで登録されていたアカウント数のグラフ。ご覧のとおり米陸軍のドメインが圧倒的で、米海軍、米海兵隊が後に続く。

一方、英国のITメディア『 The Register』 は「Ashley Madisonのアカウント登録に利用された IT 企業のアドレス」のグラフを公開した。ここではIBMが圧倒的なリードを示し、さらにHP、Cisco、Apple、Intelなどの一流企業が名を連ねた。米軍の登録者よりははるかに少ない数ではあるが、一般企業よりセキュリティに関する意識が高いと考えられる企業でも、職場のアドレスを利用して不倫サイトへの登録を行ったスタッフが数十人、数百人の単位で存在していたという話には、ただ驚くしかない。

このようにして、Ashley Madisonの会員たちに関するニュースは、「サイバー犯罪の犠牲者」というより、「天誅をくだされた間抜けな浮気者」のように伝えられた。

追い詰められた被害者たち

しかし、この事件で追い詰められた被害者にとって、それは笑い事で済まされる話ではない。Ashley Madisonは単なる出会い系サイトではなく「不倫」を前面に押し出したサービスであるため、その情報流出は一家離散に結びつくだけでなく、多額の慰謝料を請求する裁判を起こされた場合にも立場が悪くなる。

また北米では「最終的に何よりも大切なのは家族愛」という価値観が尊重される傾向がある(たとえ、それがうわべだけの話であろうと)。つまり、いったん「家族を裏切った人間」というレッテルを貼られた場合、どのような業種であれ職場に居辛くなる、あるいは何かしらの理由をつけて解雇されるといった悲劇も起こりえる。まして教職や聖職に就く人物や、企業を代表する立場の人物なら、その悲劇が起こる可能性は高い。

これまでに築き上げてきた財産、家庭、業績、そして周囲からの信頼が一度に失われた被害者の絶望は計り知れない。

Ashley Madisonへの会員登録が暴かれたことを理由とした自殺が初めて報告されたのは8月18日、データ流出の事件が一斉に報道された当日だった。シカゴのイリノイ州にマイホームを持つ2児の父だったドナルド氏は、自らの命を絶つ前に、以下のような遺書を妻に残した。「私が不誠実であったことを申し訳ないと思う。きっと君は子供たちを連れて私の元から去るのだろう。そして私は君の父親の会社からも解雇される。(中略)君にとって簡単になるようにしておくよ。すべては君のものだ。さようなら」

インターネットの匿名スペースに罵詈雑言が並びやすいのは、どこの国でも同じだ。このニュースのコメント欄には、「いいね。浮気者は死に値する!」「こんな××野郎に涙を流す者はいない」「1人のゴミ人間が、ゴミ箱に行っただけ。残りの3800万人も後に続け」などといった容赦のないコメントが次々と寄せられた(3800万人というのは、今回の漏洩件数ではなく、同社のサービスの全アカウント数として伝わっている数)。もちろん、それらの罵倒を諫めるコメントも書き込まれたものの、ドナルド氏と似た状況下の人々は、氏の名前や家族構成、遺書までが即座にメディアで公開されたこと、その記事に寄せられたコメントが手厳しいことを知り、ますます絶望的な気持ちになっただろう。

しかし人々の好奇心は止まらない。もっと”楽しい”情報を求め、流出データのサルベージを行う人々が増える中、「あなたのメールアドレスが漏洩していないかどうかを調べるサービス」も次々と登場した。これらは本来の用途だけでなく、自分の配偶者が会員登録していないか確認したい人々、あるいは知人や従業員のメールアドレスを検索したい人々にも利用されたことだろう。各サービス自体の安全性を確認できていないので、それらへのリンクは掲載しない。

読者の皆様には、Impact Teamによってオンラインに放たれたデータは、決して探そうとしないことを強くお勧めする。その情報のダウンロードを申し出るサイトのほとんどは、犯罪者による偽物のサイトであり、それを閲覧した人物が様々なマルウェアに感染する可能性は「極めて」高い。あくまでもGoogle検索で閲覧できるサイトしか見るつもりはないし、ダークネットに入り込まなければ大丈夫だろう……と考えるのは非常に危険だ。むしろ詐欺師たちは、そのような「お気楽で好奇心の強い人々」を狙っている。

カナダ・トロント警察の対応

ALM社のあるカナダでは、8月24日、トロント警察(Toronto Police Service)のBryce Evans氏が声明を発表した。「これはもう楽しいゲームではない。われわれは家族のことを話している。その子供たちの話をしている。彼らの人生に影響が及ぼされる問題だ」とコメントした彼は、被害者たちが送りつけられた恐喝のメールも読み上げた。「あなたの友人や家族、雇用主に、あなたの汚れた情報をすべて共有されたくなければ、1.05ビットコイン(およそ3万円)を月曜の午後までに送れ」

続いて彼は「オンラインに流出した、あなたのAshley Madisonの情報を削除します」と申し出ることで、被害者から金を騙し取ろうとする詐欺団体が存在していること、また今回の情報流出を苦に命を絶ったカナダ市民が新たに2名いるようだということを発表した。ただし米国と異なり、彼らの詳細情報は公開されていない。

この声明の中では、トロント警察がオンタリオ州警察や王立カナダ騎馬警察、米国連邦捜査局、米国国土安全保障省と共に、流出した会員の個人情報に関して詳細な捜査を続けていることも語られ、また、それらの捜査を支援する「善玉ハッカー」の協力が求められた。

次回に続く

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…