2016年8月4日

Ashley Madison事件が紐解く人間の業

ニュース 脅威

1年ほど前に発生した、既婚者向け「出会い系」サイトAshley Madisonの大規模な情報漏洩事件。この事件で会員の人生は大きな影響を受け、人気がありながらも物議を醸した事業は、存続の危機に立たされました。

ashley-madison-one-year-featured

Ashley Madisonを攻撃したのは、Impact Teamと名乗る、これまで知られていなかったハッカーグループです。40か国3,700万人以上の会員情報のほか、Webサイトのソースコード、さらにはAshley Madison経営陣の内部的なやり取りまで流出しました。既婚者同士が出会いを求めるというサイトの性質上、この事件は多くの人生を劇的に変化させ、サイバー犯罪者にとってはハッキングの被害者からあの手この手で搾取できるネタとなりました。

「自業自得だ」

ハッカーは盗んだデータをダークウェブで転売するのが一般的ですが、Ashley Madison事件の背後にいる犯罪者は、金銭ではなく正義を求めたように見えます。

騒動の始まりは、Impact TeamがAshley Madisonの親会社であるAvid Life Mediaの経営陣に一報を入れたことです。Impact Teamは、同社のインフラストラクチャのハッキングに成功したことを告げました。さらに、同社が運営する3つの出会い系サイトの閉鎖を要求し、実施しなかった場合は顧客データを公開すると脅しました。同社が要求を拒んだところ、30日後に宣言どおりのことが実行されました

情報が公開されるやいなや、会員はパニックに陥り、クレジットカードが不正に使われることよりも、交際やプライベート写真が暴露されることにおびえました。一方で、リサーチャーはWebサイトのソースコードの解析に着手し、興味深い点をたちまち発見しました。

1つめは、Ashley Madisonのソースコードに脆弱性が数多く存在していたこと。このため、ハッカーは同Webサイトのインフラの侵入口を発見すると、すぐに動き回ることができました。2つめは、同Webサイトのパスワード要件が甘かったこと。パスワードの長さは5~8文字で、2種類の文字しか組み合わせることができませんでした。

Avid Life Mediaと同社の顧客は、大規模な情報漏洩事件の報いを受けざるをえませんでした。Ashley Madisonのサービスの性質上、他のメジャーなサービスの漏洩事件よりもはるかに厳しい打撃となりました。

Avid Life Mediaが失った信頼と夢

この情報漏洩事件に対する世間の反応は、かろうじて笑いをこらえている、というものでした。今回の漏洩事件を、同社の「インスタントカルマ」(悪い行いに対して、すぐに悪い報いがあること)と受け止めている人が大勢いました。詰まるところ、Avid Life Mediaのビジネスモデルは不貞と嘘の上に成り立っていたわけですから。企業の機密情報などのデータが漏洩した後、リサーチャーが分析を開始しました。すると、今度はユーザーが怒りに震える番でした。

Ashley Madisonは、ブランドプロミスがあってこそ数千万人もの幅広い顧客ベースを築くことができたのですが、調査によってそれがまったくの嘘であることがわかりました。同サイトには、秘密保持に関して会員に安心してもらうための機能がいくつかありました。その1つとして積極的に宣伝していたのが「完全削除」オプションで、会員にはプロフィールを永久に完全消去する機能だと説明していました。このサービスの価格は19ドルほどで、年間170万ドル以上の利益をもたらしていました(英語記事)。

しかし、実際に削除されるのはプロフィールのデータのみで、「決済データ」はファイルに保管されていました。そのため、顧客の実名、請求先住所、クレジットカード情報は同社のサーバーに残っていました。登録時に偽名を使っていても、実名は消去されないままシステムに残っているのです。

さらに調査が進むと、新たに興味深い話が出てきました。Ashley Madisonの魅惑的な女性たちの正体は、ほとんどがチャットボットだったのです。チャットボットの目的はただ1つ、Ashley Madisonのサービスがどんなものかチェックしにきた人に声をかけ、会話を続けたければ料金を支払うように仕向けることです。チャットボットは単なる間違いではありません。これは意図的な詐欺行為で、大量のプログラミングと顧客の嗜好分析機能を必要とします。たとえば、同じ人種と思われる「女性」とマッチングさせるなどです。

結局、正体がよくわからず、容赦ないハッカーに対してAvid Life Mediaはどうすることもできず、多額の犠牲を払うことになります。同社はハッキング事件の数か月後に新規上場(IPO)を控えていましたが、大変な騒動になると、上場の意味がなくなりました。当初の見込みどおり、IPOで2億ドルを調達するのは不可能だからです。代わりに、Avid Life Mediaを待っていたのは訴訟、監査、そして最高経営責任者(CEO)のノエル・バイダーマン(Noel Biderman)氏の辞任でした。

この事件により、Ashley Madisonはブランドの根本的な見直しを余儀なくされました。漏洩から1年後、同サイトはサービス内容を変更し、ブランドイメージを一新しました。「人生一度。不倫をしましょう」という刺激的なキャッチコピーは姿を消し、他の出会い系サイトでも見かけそうな「今この瞬間を生きよう」に変わっています。同サービスは不倫サイトというイメージをやめ、現在は「オープンな心を持った大人が本物の内密な交際を見つけるにはぴったりの場所」と謳っています。

ユーザーが受けた罰:離婚、恥さらし、絶望

ハッカーに関する有効な情報を求めて報奨金500,000ドルを出すなど、Avid Life Mediaが漏洩の影響を抑えようと躍起になる中で、会員は試練を覚悟するしかありませんでした。漏洩発覚から数週間の間、Avid Life Mediaには数千もの恐ろしい問い合わせが殺到し、カスタマーサービスは機能停止。そのため、会員は自分たちで何とかするしかありませんでした。

離婚の危機に瀕する夫婦は数えきれないほどでした。被害者はパートナーに事実を打ち明けることを恐れ、中には、厳しい決断や悲劇的な決断をした人までいました(英語記事)。

一方で、オンライン上では結婚における倫理や貞節を主張する声が高まり、同サイトの会員を容赦なく打ちのめしました。オーストラリアのあるラジオDJは、リスナーの女性の夫がAshley Madisonに登録していることを放送中にバラし、ジョージア州の新聞には漏洩した名前がすべて掲載されました。

軍将校、聖職者、セレブ、政治家など、数千もの公人に脅威が迫りました。暴露されたら、評価を大きく損ねることになったでしょう。

一部メディアによると、軍将校や行政機関の職員の多くは職場のメールアドレスを使ってAshley Madisonに登録していたそうです。それが事実かどうかは確認されませんでしたが、噂は英国首相官邸など、多くの著名機関に影響を及ぼしました。

好機に便乗する犯罪者たち:脅迫、スパム、フィッシング

ハッキングを実行したImpact Teamは、金銭を求めて個人情報を盗む、ありがちな犯罪者とは一線を画します。しかし、同グループがチャンスを作ると、他のサイバーギャングは間髪を入れず便乗してきました。

まず、被害に遭った会員はクレジットカード詐欺のいいカモになりました。Ashley Madisonの大半のユーザーは偽名で登録していましたが、決済時には本名を明かす必要があります。流出したデータベースには、クレジットカード番号が丸ごと含まれていたわけではないようですが、クレジットカード番号の最後の4桁からすべての桁がわかってしまったケースもありました(英語記事)。こうして犯罪者は、銀行口座からお金を盗み出したり、オンラインで何かを購入したりすることができました。

もっとも、Ashley Madisonの事件で会員の情報が利用されたのは、クレジットカード詐欺だけではありません。プライベートなデータを盾に被害者と連絡を取り、家族や勤務先に不倫をバラすと脅す者や、被害者のかなり個人的な写真やメールのやりとりを被害者のFacebookフレンドやLinkedInコネクションとシェアすると脅す者も登場しました(英語記事)。暴露に耐えられず、脅迫が一度きりで済む確証がないまま身代金を支払う人も出てきました。どうやら脅迫者を警察へ通報するのは、あり得ない選択肢だったようです。

こうした脅迫行為は、今でも続いています。最近もNJ.com(ニュージャージー州のニュースサイト)の会員が匿名を条件にAshley Madisonでの経験を語っています(英語記事)。バツイチの「スミス氏(仮名)」は、本名でAshley Madisonに登録し、クレジットカードを使用していました。しばらくして、スミス氏の個人的なメールの内容や銀行のデータなどを入手したと主張する脅迫者からメールが届きました。

メールはこのような内容でした。「私たちは貴殿のFacebookページにもアクセスできる。この薄汚い情報を友人、家族、配偶者などに暴露されたくなければ、XXXのBTC(ビットコイン)アドレスにきっかり5ビットコインを振り込む必要がある。タイムリミットは、24時間。もう結婚が破綻しているのなら、離婚問題専門の弁護士の費用にいくらかかるか、考えてほしい。そして、家族や友人の間で貴殿の社会的地位がどうなるか想像してほしい。友人や家族は、貴殿をどう思うだろうか…」

恥じることは何もしていないと考えたスミス氏は、身代金を支払う代わりに、自身の体験を世間に公表することにしました。他の被害者がどのような判断を下したのかは、本人しか知りません。

「不倫サイト」のハッキング事件が報道されると、新しいフィッシングサイトも瞬く間に登場しました。パートナーの裏切りを気にする人たちは、流出したデータベースにメールアドレスがあるかどうかチェックできるというフィッシングサイトに引っかかり、Ashley Madisonの会員と同じくらい簡単に騙されました。

こうしたサイトにメールアドレスを入力すると、スパムやフィッシングの攻撃を受ける結果になります。サイバー犯罪者は本物のメールアドレスを収集する偽サイトを作成し、そのアドレスをスパムやフィッシングに利用しました。サイトで入力されたメールアドレスは、暗号化もされないまま、詐欺師たちの元へ送られていたのです。

その後

Ashley Madisonの情報流出から1年。その間、私たちはぞっとするような大規模な漏洩事件や結末を数多く耳にしました。しかし、Ashley Madisonのハッキング事件は、クレジットカード番号やSNSパスワードの漏洩よりも、もっと個人的かつ深刻な傷跡を残しました。この事件では、決して公になることのなかった個人的な話が、世界中の目に晒されてしまいました。

漏洩事件の中には、サービスと利用者の両方に長期的な影響を与えるものもあります。たとえば、Ashley Madisonの流出データと別の大規模なハッキング事件(米連邦人事管理局のハッキングなど)の漏洩データとを照合するツールを考案する犯罪者がいたら、どうなったでしょうか。人事管理局の事件では、米政府機関に勤める数百万人もの職員の個人データが漏洩し、職員の多くは機密情報へのアクセス権限を持っていました。

今までにAvid Life Mediaに対する訴訟でかなり話題になったものは3件あります。しかし、多くの離婚訴訟は人知れず行われています。今でも不貞がいつバレるかとビクビクしながら生活している人は、ごまんといます。そして、2015年半ばまでは将来有望なビジネスと言われたAvid Life Mediaは、開発戦略の見直しを迫られました。同社は今後何年にも渡って、漏洩事件の余波を受け続けることでしょう。

結婚や不倫について、とやかく言うつもりはありません。それは個人の判断であって、あれこれ諭すのは私たちの役割ではありません。ところが今、私的な決断をオンライン上に持ち込んだ人に注意喚起しなければならないという奇妙な状況になっています。オンライン交際やセクスティング(性的な文章や写真をやり取りすること)に興じる独身者や既婚者は、自らのリスクレベルを引き上げています。個人の情報や信用が危険に晒されています。そして、脅迫やゆすりなど汚い手口を使うサイバー犯罪者にとって、この手のプライベートな情報は簡単に弱みにつけ込むための格好の材料なのです。

それでも出会い系サイトという危険ゾーンに繰り出したい方は、情報漏洩のリスクを減らすための基本的なヒントを頭に入れておいてください。

  •  自分の身は自分で守りましょう。Webサイトが何とかしてくれると期待してはなりません。クレジットカード決済を避け、できればギフトカードを使いましょう。また、プロフィールには偽の名前と住所を登録してください。
  • ヌード写真を交換しないでください。せがまれたときは、なおさら拒否しましょう。チャット相手は信用できる人物だとお考えかもしれませんが、近ごろは誰でも情報漏洩の被害に遭う可能性があるので、最悪のシナリオを描いておいてください。
  • 職場のメールアドレスを使って登録しないでください。勤務先とあなたとの関係がわかれば、犯罪者にとって最高の脅迫材料になります。ソーシャルエンジニアリング攻撃、所属企業に対するセキュリティ侵害のきっかけとなることも考えられます。
  • 出会い系サイトでは、メインのメールアドレスではなく、個人のメールアドレスを使いましょう
  • 偽名を使いましょう。秘密を最大限に守るため、本名で登録しないでください。そして、当然ですが認証にSNSアカウントを使わないでください。詐欺師や脅迫者が多くの情報を手にするほど、効果的な罠を仕掛けてくるでしょう。
  • 漏洩被害に遭った場合、流出した情報のデータベースで漏洩の有無を確認できるという話があっても、乗らないでください。罠かもしれません。確認したい場合は、「HaveIBeenPwned?」のWebサイトを試してみてください。ホワイトハッカーでセキュリティリサーチャーでもあるトロイ・ハント(Troy Hunt)氏が開設しているWebサイトです。
  • データ侵害に遭った場合は、同じパスワード、または似たようなパスワードを使っている他のオンラインサービスのパスワードを変更してください。ユーザーはパスワードを使い回す傾向があることをハッカーはよく知っています。うかうかしていると、FacebookやLinkedInのアカウントどころか、メールアカウントまでハッキングされるかもしれません。このほか、新しいクレジットカードを申請する必要があるかもしれません。
  • 何よりも重要なのは、自分のアカウントはいつでもハッキングされる可能性があると認識することでしょう。残念ながら、近ごろは情報漏洩が「発生するかどうか」ではなく、「いつ発生するか」が問題なのです。