ハッカーに出会ってしまった出会い系サイト

2015年7月24日

出会い系サイトAshley Madisonの利用者は、今回ばかりは「自分とは関係ない話」とは言っていられません。同サイトの3,700万人の個人情報が盗まれたからです。ハッカー側はサイトの所有者に対し、2つの出会い系サイトを閉鎖しなければデータベースをすべて公開すると脅告しています。

 

「人生一度。不倫をしましょう」というあからさまなキャッチコピーを掲げる人気出会い系サイト「Ashley Madison」と、富裕男性に女性を紹介するサイト「Established Men」は、どちらもAvid Life Media(ALM)という会社が運営しています。ハッカー側は、今回の行動はALMの汚いやり方を罰するためと主張しています。同社は顧客に19ドル支払えば顧客プロフィールを完全消去と約束しておきながら、実際は顧客データを削除していないというのです。

ハッカーは次のように述べています。「たいていの利用者はクレジットカードで支払う。購入記録には本名や住所が含まれているのに、約束どおり削除されない。言うまでもなく、こうした大事な情報こそ削除してほしいのだ」

正義を唱えるハッカーは、ALMに両Webサイトをすべて永久的に閉鎖することを求めています。要求に従わなければ、顧客の実際の氏名と住所、それに秘密の性的嗜好などの情報をオンラインで公開するとしています。

しかし寛大にも、他のサイトの閉鎖までは求めていません(その他にALMが運営しているのは、中年女性に若い男性を紹介するCougar Lifeというサイトだけですが)。同社は、犯人側の行動を犯罪行為として刑事告発し、対抗しています。

KrebsOnSecurityの報告によると、ハッキングの事実を証明するため、流出データのサンプルが既にWeb上に公開されましたが、その後間もなく公開されたデータをALMがどうにか削除したとのことです。同社は情報漏洩を認め、「一流のフォレンジックエキスパートやセキュリティ専門家に攻撃の出所、性質、範囲の特定」を依頼したと述べました。

本件には、同社ネットワークへの内部アクセス権を持つ者(元社員や請負業者など)が関わっている可能性が高いと見られます。この説の間接的な根拠として、犯人側がALMのセキュリティ担当ディレクターに宛てた謝罪メモがあります。「マーク・スティール(Mark Steele)にだけは謝罪したい。あなたはやるだけのことはやった。でも、どんなことをしたとしても、我々の行動を止めることはできなかっただろう」

ALMにとっては、莫大な収益を失うかどうかの一大事です。犯人側によると、プロフィール削除サービスだけでも2014年に約170万ドルの収益があったということです。Ashley Madisonプロジェクト全体の収益は、約10億ドルと見積もられています。

現時点でALMは、犯人側の要求を受け入れてサイトを閉鎖するつもりはないようです。しかし一方で、火遊びを楽しもうとした3,700万人のプライバシーは混乱した状態に置かれています。倫理の問題や家庭の問題に発展する可能性は別にしても、データが他のサイバー犯罪者のフィッシング詐欺やバンキング詐欺に利用されるおそれがあります。

最初に責められるべきは誰でしょうか。利用者に万全のセキュリティを約束したALMか、それとも利用者自身か。電子フロンティア財団のレポートから、出会い系サイトはセキュリティやプライバシーの点で非常に危険であることがわかっています。しばらく前にも、別の出会い系サイトがハッキングされて、350万人以上の会員の性的嗜好や秘密が暴露されました。

個人的に隠しておきたい商品やサービスをクレジットカードで購入すると、販売者、そしてその販売者のシステムをハッキングできるくらい度胸のあるハッカーと、秘密の情報を共有することになります。データがオンラインに公開されてしまえば、削除する方法はありません。

だからこそ、セキュリティの基本をおさえておくことが肝心なのです。

– 暗号化された通信チャネルを使用しましょう。

– 販売者にデータを記録、利用されたくなければ、支払いは現金で行いましょう。

– 利用するサービスごとに、別のメールアカウントとニックネームを使用しましょう。

ALMは犯人の特定は近いと述べていますが、数千万人のプライバシーが危険にさらされる前に捜査を完了できるかどうかは、残念ながらわかりません。