SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

アシュレイ・マディソンにおける個人情報の流出は何をもたらしたのか

この記事をシェア

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「We Live Security」の記事を基に、日本向けの解説を加えて編集したものである。

アシュレイ・マディソンにおける個人情報の流出は何をもたらしたのか

2015年7月下旬に突然、不倫SNSサイトとして国際的に知られる「アシュレイ・マディソン」(Ashley Madison)のサイトに登録されている3,700万人のユーザーの個人情報が漏出したという発表があった。

「人生は短い。不倫をしましょう」(“Life is short. Have an affair.”)というスローガンを持つこのサイトを攻撃したのは、自称「インパクトチーム」(Impact Team)というクラッカー集団だった。彼らは、このサイトを運営している会社のデータベースに侵入し、ユーザーの氏名、住所、プロファイルなどの個人情報に加えて、企業の文書やメールアドレスその他を獲得した、と公言した。

インパクトチームによって最初に盗まれたデータは容量にすると10GBもあり、企業の文書やカード情報なども含まれている。親会社であるアヴィド・ライフ・メディア(ALM)は他にも「Cougar Life」「Establish Men」といったサイトを運営しており、攻撃者たちの要求は、アシュレイ・マディソンだけでなくALMのサイトを永遠にネット上から消し去ることであった。

もしも消去しないのであれば盗んだ個人情報をばらまくという脅迫に対して、ALMは、攻撃に使用されたセキュリティ上の欠陥の修正対応を行い、加害者に対して裁判を起こすために法律家と相談をし始める。

しかし、そもそもインパクトチームは、アシュレイ・マディソンの登録情報の削除サービスについて疑念を抱いていたようである。氏名や銀行口座などの登録者データを抹消するのに15ポンド(約3,000円、ちなみに日本では1,900円)をユーザーに請求していたが、攻撃者たちはALMが提供している登録情報の完全削除について「完全なる虚偽」と述べている。

ALMからの声明は次のようなものだった。

「私たちは、お客さまの情報に対するいわれのない犯罪者の侵入に対して心よりおわび申し上げます。最近のビジネスシーンにおいては、ネット上の情報がサイバー破壊行為から安全である企業などないことを証明しています。ALMにおいても、最新のプライバシーとセキュリティ技術への投資を行ってまいりましたが、他の多くの企業と同様に攻撃を受けてしまいました」

ALMはインパクトチームの警告を受け入れなかった。その結果、2015年8月には個人情報を裏サイトが集まる「ダークウェブ(Dark Web)」に公開されてしまう。

その中身は、世界中の不倫を求める人々、総計約3,700万人の個人情報だった。ALMに被害があっただけでなく、それ以上に、利用していたユーザーへのダメージがより大きかった。

事件はまだ解決されていないが、どういった流れを歩んできたのかを振り返るために、以下、これまでの経緯を簡単に時系列でまとめておこう。話は2012年にさかのぼる。

2012年(月は不明)

組織内部のメールにおいて、アシュレイ・マディソンの創設者の一人でCTOのラジャ・バティア氏が、アシュレイ・マディソンとその親会社であるALMが攻撃される危険にあることを同僚に警告した。

バティア氏は「セキュリティは明らかに二の次だった」と考えていたようであり、加えて、しっかりとした対応を取っていなかったことを後悔する。

「親会社の考え方として、セキュリティに対する危機意識が薄かったと思う。そして、メディアがそういうことを知ったときにどのような反応をするのかも。大きなダメージを被った後にその企業が信頼を取り戻して復活できるかどうかは、どのように広報するのか、そしてもっと重要なのは、ユーザーに対してどのように説明するのかによって、大きく分かれる。沈黙は最悪の回答だ」

2012年11月

インパクトチームによって暴露されたメールによれば、バティア氏はアシュレイ・マディソンのCEOであるノエル・バイダーマン氏と共に他のWebサイトへの「ハッキング」の可能性を議論していた。

バティア氏はバイダーマン氏にメールを送り、性や文化など好奇心をくすぐるもの全てをテーマにしたオンライン誌「ナーヴ」に脆弱性があることを伝えた、と説明している。「セキュリティホール」が何を意味するのか尋ねたとき、バティア氏は「そういえば『ナーヴ』がサイトをリニューアルしましたよ。少し調べてみましょう」と返答している。

「彼らのサイトはチェックが甘いですね。メール、暗号化されたパスワード、彼らが何かを購入したのか、誰とやりとりをしたのか、どういったものを検索したのか、そしてログイン情報、不正リスクのあるプロファイルを含めて、全てのユーザーの記録にアクセスできました」

実は、ALMはこのやりとりの前に「ナーヴ」との間で業務提携や投資機会の可能性を議論している。

こうした発言に対してALMは、バティア氏とバイダーマン氏とのやりとりが本来とは異なった意味で取り出されているという声明を出している。

「ノエルはラジャ・バティアに連絡をして(パートナーシップの)機会を得るに当たって、技術的な見地から適切なのかどうかを探ってもらったのだ。その結果、先方には技術的な欠陥が見つかった。『ナーヴ』のデータを盗み出そうとしたというのは大きな誤解だ」

2013年6月

日本に上陸。

2013年~2014年

確認できる限りにおいて、アシュレイ・マディソンでのデータ侵害の報告はなかった。また、この期間中にWebサイトでのセキュリティの脆弱性に関して懸念された気配はない。しかし、まだ公にされていない内部の議論や発見があった可能性もある。

2015年5月25日

2015年の前半は、特に何かが起こった様子もなく、いつも通りビジネスが行われているように見える。しかし5月に入ってアシュレイ・マディソンのセキュリティ・ディレクターであるマーク・スティール氏は、バイダーマン氏との会合でセキュリティの問題を議論している。それは、議題の優先順位としてはかなり上位にあったように見える。

スティール氏の説明は、自分たちの取り扱っている個人情報やサイトの性質から考えると、セキュリティのコンサルタントやその他さまざまな関係者がビジネスチャンスを狙ってアプローチしてくる可能性がある、というものだった。

「サイトのコードベースにはXSSとCRSFの脆弱性があり、非常にまずい。(セキュリティ専門家であれば)いともたやすくそれを見つけられるだろう。そのまま悪用(フィッシング)するのはやや困難であるが。また、別の脆弱性は、SQLインジェクションやデータ漏出のようなことになり、はるかにダメージを与えるだろう」

7月12日

ALMの従業員は、これまでの普通の日と同じようにその日も始まると思いながら、仕事に取り掛かろうとした。しかし各人が自分のコンピューターにログインすると、インパクトチームからの当惑するメッセージが、ロックバンドAC/DCのヒット曲「サンダーストラック」音楽をBGMに現れた。

「われわれはインパクトチームである。おまえたちのシステムを全て乗っ取った。オフィス、生産部門、顧客情報のデータベース、ソースコードリポジトリ、財務記録、(そして)メール、全てだ。AM(アシュレイ・マディソン)とEM(エスタブリッシュト・メン)をシャットダウンするには金が掛かるだろうけれども、そうしないときの方がもっと高くつくことを忘れるな。おまえたちの顧客リストを全て流出させる。クレジットカード情報もだ。とんでもない数のユーザーからおまえたちは非難されることになるだろう」

7月20日

ALMは、自分たちが「システムにアクセスする権限のない者の攻撃を受けている」ということを発表する。発見した結果、それ以上の攻撃を受けているわけではないとした。さらにこの件については捜査当局に相談し、この不法行為の捜査を開始していることを明らかにした。

また、世間で騒がれているようなユーザー情報の削除サービス(有料)が実はきちんと機能していないという噂(うわさ)を打ち消した。その結果、多くのユーザーは一度は安堵した。またALMは、通常は有料のこのサービスを特別に無料提供すると告げた。つまり、ALMは脅迫に屈せずにサイトを閉鎖しなかったのである。

7月22日

こうしたALMの対応を見て、インパクトチームはまず、このサービスに登録していた2名の男性の詳細な情報を公開する。氏名や住所ばかりでなく、その性的関心についてもである。これによって明らかにALM側のデータベースが盗まれたことが明らかになる。また、インパクトチームの脅迫が本気であることも伝わる。

8月18日

攻撃から1カ月が経過。ALMは全く脅迫に屈することはなかった。そしてその結果、ついに、ユーザー約3,200万人の個人情報が「ダークウェブ」と呼ばれる匿名化技術を利用したWebサイト上に公開された。

「タイム・アップ。ALMはAMとEMを諦めた。ALMの連中の欺瞞と愚かしさをさらしてやる。予告通りデータをさらすことにする」

インパクトチームは被害者に対しても挑発する。悪いのはうそをついていたALMであり、訴訟を起こし賠償請求するよう促す。また、家庭内問題は自分で償いをしろと突き放す。

同日のうちにALMは声明を発表。インパクトチームの脅迫には屈しないこと、そして、アシュレイ・マディソンのサイトは続行すること、また警察による捜査が行われていることをあらためて訴えた。

8月20日

2日後、インパクトチームは第2の攻撃を行う。最初が10GBだったのに対して今度は20GB分のデータを流出させた。その中にはALMの内部文書やバイダーマン氏の私的なメールなども含まれていた。

直接名指しでCEOに対して「ほらノエル、これで本物だと分かるだろう」とインパクトチームが攻撃的なのは、CEOが流出した情報を偽物扱いしたからである。

8月21日

第3の流出が行われる。またインパクトチームはALMのセキュリティ体制の甘さを具体的に指摘する。VPNのパスワードも明らかにする。まだ内部文書やメールなど300GBほどのデータがすでに盗み出されており、これまでの攻撃はまだ序の口であり、今後も続くことを示唆する。

8月23日

集団訴訟がカナダで起こり、5億7,800万ドルの損害賠償を要求。

8月24日

会員が恐喝の犠牲になり始める。他のサイバー犯罪者たちが金銭獲得のためにアシュレイ・マディソンの漏えいデータを悪用しているのである。スティーブン・コブ(ESETの上級セキュリティ研究者)は、漏えいしている情報は間違いなく本物であると指摘する。

「世界各地で、この不正なデータ漏えいを悪用して大騒ぎが起こり始める。フィッシングや恐喝が無差別に行われ、サイトに登録した覚えのない人でさえこの件に巻き込まれ始めている」

また、ブライス・エヴァンス警視率いるトロント警察は記者会見で、この事件の影響と思われる自殺者が2名いたことを伝える。

これに対してALMは、事件に関する有力な手掛かりを提供した場合に50万カナダドル(37万5,000USドル)を提供することをWebで公表。

8月26日

コンピューター・セキュリティのブロガーであるブライアン・クレブス氏が調査した結果、「Thadeus Zu (@deuszu)」というツイッター・ユーザーによって、アシュレイ・マディソンから盗まれたソースコードへのリンクが公になる前に投稿されている、と指摘した。

もちろんこのアカウントがそのまま犯人のものとは限らないが、何らかの形で犯行グループとつながっている可能性が高い。だが、Thadeus Zuの身元はまだ明らかになっていない。

またスペインでは、ネットから個人情報の削除を行う専門業者エリミナリア(Eliminalia)社に1,500人以上の削除依頼が殺到したことが報道された。この中には、公人も含まれていた。また同社はホームページで、アシュレイ・マディソンのユーザーに対して無料相談を開始した。

8月28日

ALMの発表によれば、アシュレイ・マディソンの創始者でありCEOであるバイダーマン氏が辞任し「もはや会社から離れた」とされる。公式声明は、これが「最善の策」であり、加えて暫定的に、ビジネスは残された経営陣によって引き継がれると説明する。

8月30日

世間ではアシュレイ・マディソンは本当に閉鎖するのではないかと噂されたが、同社はその風評を打ち消し、しかも事件後にも新規ユーザーは数十万人単位で増えており、そこには8万人以上の女性会員も含まれているとプレス向けに発表した。さらには、ネットメディアにおいて女性会員の大半がボット(仕込み)であったとする分析に対して、全面的に否定し、今後のサイト運営の継続に熱意を燃やし続けていることが判明した。

今後は……

事件はこれで終わったわけではないが、この段階で一度これまでの経緯を振り返り、全体像をつかみ直すことには、それなりの意味があるように思われる。

特に気になるのは、個人情報の漏えいとしては世界的に深刻な被害を受けているにもかかわらず、それが「不倫サイト」であったためなのか、それほど世間から同情の声が聞こえてこないことである。この事件がアシュレイ・マディソン側によって仕掛けられたもので、宣伝効果を狙っているのではないかと疑う人さえいる。

こうした会員制によるサイトはなかなか内部事情が分からないため、その実態が明るみに出るだけで多くの人々の関心を集めはする。だが、本当に大事なのは、被害者の救済や事件の解明であるはずだ。

もちろん「不倫サイト」というものが道義上広く受け入れられるものかどうかは問われねばならないが、それとは別に、Webで起こったサイバー犯罪に対しては、しっかりとした対応や対策を行っていくべきだろう。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!