インターネット界で最も頼りになる流出データの管理人「Have I Been Pwned」が生まれたわけ

「自分の個人データは漏えいしたことがあるのだろうか」―この素朴な疑問に答えるため、Troy Hunt(トロイ・ハント)氏は2013年の暮れにデータ漏えい確認サイトHave I Been Pwned(ハブ・アイ・ビーン・ポウンド、HIBP)を立ち上げた。

それから7年後の現在、HIBPは、史上最大規模のデータ漏えいを含め、これまでに発生した幾百件ものデータ漏えいの中で自分の個人情報がハッキング(英語のスラングでは語頭の「p」をはっきり発音して「pwned(ポウンド)」とも言う)されたかどうかを確認したいユーザーのリクエストを毎日何千件も処理するデータ漏えい確認通知サービスとなっている。現在までに100億件弱という記録的な流出データをデータベースに蓄積してきたHIBPだが、サービスの拡大とともに、立ち上げ当時にハント氏が抱いていた疑問に対する答えが明らかになっている。

「経験から言うと、個人データが漏えいしている確率は非常に高い。ある程度の期間インターネットを使っている人のデータならほぼ間違いなく漏えいしたことがあると思う」と、ハント氏はオーストラリアのゴールドコーストにある自宅からインタビューに応じて語ってくれた。

HIBPはもともと、Microsoft(マイクロソフト)のクラウドの基本的な動作を確認するためにハント氏が1人で始めたプロジェクトだった。しかし、好奇心の高い人が多く、シンプルで使いやすいこともあって、HIBPの利用者はたちまち爆発的に増加した。

サービスの拡大にともない、HIBPはより予防的なセキュリティ対策を提供するようになった。ブラウザやパスワードマネージャーとHIBPをバックチャネルで連携させ、ユーザーが、すでに流出履歴がありHIBPのデータベースに記録されているパスワードを使おうとすると警告が表示されるようにしたのである。これはサイトの運営コストを抑えるのに不可欠な収益源にもなった。

しかし、HIBPの成功はほぼすべてハント氏1人の功績と考えるべきだろう。ハント氏は創業者かつ唯一の従業員としてワンマンバンドのようにこの型破りなスタートアップを経営し、規模もリソースも限られているにもかかわらず収益を上げている。

HIBPの運営に必要とされる労力が急増すると、ハント氏は、1人で運営するには負担が大きすぎて実際に弊害が生じ始めていると感じるようになり、その解決策としてHIBPサイトを売却することを発表した。しかし、それから激動の1年が過ぎた後、同氏は売却を取りやめた。

流出データベースのレコード件数100億件という次の大記録達成を目前に控えた今でも、HIBPの勢いは衰える気配がない。

「すべてのデータ漏えいの母」

HIBPを立ち上げるずっと前からハント氏はデータ漏えいに精通していた。

ハント氏は(その当時は)小規模なデータ漏えいにより流出したデータを収集して詳細に分析し、発見したことを自身のブログにつづる人物として、2011年頃には有名になっていた。ハント氏の詳細かつ系統だった分析は再三再四、インターネットユーザーが複数のサイトで同じパスワードを使っていることを証明した。つまり、1つのサイトからデータが漏えいしたら、別のオンラインアカウントのパスワードもハッカーの手に落ちてしまう状況だった。

そんな時に起きたのが、ハント氏が「すべてのデータ漏えいの母」と呼ぶAdobe(アドビ)の個人情報流出だ。1億5000万以上のユーザーアカウント情報が盗まれてネット上で公開された。

ハント氏はこの時に流出したデータのコピーを入手し、すでに収集していた他のいくつかのデータ漏えいのデータと合わせてデータベースを作成し、メールアドレスを使って検索できるようにした。検索にメールアドレスを使うようにしたのは、漏えいデータのほぼすべてに共通していた項目がメールアドレスだったからだ。

こうしてHIBPが生まれた。

HIBPのデータベースが拡大するのに長くはかからなかった。Sony(ソニー)、Snapchat(スナップチャット)、Yahoo(ヤフー)から立て続けにデータが漏えいし、HIBPのデータベースに何百万件ものデータが新たに加えられた。程なくしてHIBPは自分のデータが流出したことがあるかを確認したい人が真っ先に利用する人気サイトになった。朝の情報番組でHIBPサイトのアドレスが放送されてユーザー数が爆発的に増加し、一時的にサイトがオフラインになることもあった。その後もハント氏は、Myspace(マイスペース)、Zynga(ジンガ)、Adult Friend Finder(アダルトフレンドファインダー)など、インターネット史上最大規模のデータ漏えいにより流出したデータや、いくつかの巨大なスパムリストをHIBPのデータベースに加えていった。

HIBPの規模が拡大し、知名度が上がっても、ハント氏は引き続きソロ経営者として会社の切り盛りから、データベースへのデータ投入、サイト運営方法の決定に至るまで、倫理的な側面も含めてすべて1人でこなした。

ハント氏は流出した個人データを扱う方法を決める際に「自分が理にかなっている思う方法で扱う」ことにしている。HIBPに匹敵するサービスが他になかったため、これほど大量の流出データ(しかもそのほとんどが非常にセンシティブなデータ)の取り扱いや処理方法についてハント氏が自分でルールを策定しなければならなかった。ハント氏は自分が何でもわかっているとは考えていないため、自分が下した決定の背後にある理由についてブログで長文を書き、包み隠すことなく詳細に説明している。

「ユーザーが検索できるのは自分のメールアドレスのみとする」というハント氏の決定は理にかなっていて、「自分のデータが流出したかどうかを確認する」という、当時のHIBPサイト唯一の目的に基づくものだった。しかしそれは同時に、ユーザーのプライバシー保護に配慮して下された決定であり、これが、後にもっとセンシティブで漏えいによるダメージが深刻な流出データを入手することになってもHIBPのサービスを継続できるようハント氏を助けることになった。

2015年、ハント氏は不倫あっせんサイトAshley Madison(アシュレイ・マディソン)から漏えいした数百万件にのぼるアカウント情報を入手した。この一件は、最初はデータ流出そのものに注目して広く報道されたが、その後、このデータ流出が原因で数人のユーザーが自殺したことで再びメディアに取り上げられた。

アシュレイ・マディソンへのハッキングは、HIBP史上、最もセンシティブなデータだった。この件がきっかけで、ハント氏は、ユーザーの性的嗜好その他の個人データが関わるデータ流出に対するアプローチ方法を変えることになった。(AP Photo/Lee Jin-man、File)

ハント氏はこの件がもたらす感情的ダメージの深刻さを強く意識し、いつものアプローチ方法から少し外れることにした。このデータ漏えいが他と異なることは明白だった。ある人はハント氏に、「自分の地元の教会がアシュレイ・マディソンから流出したデータに含まれていた地元住民の名前をリストにして掲示した」と話したという。

この件についてハント氏は、「これは明らかに人を道徳的に裁いていることになる。HIBPがその一端を担うことは避けたい」と語った。

このデータ漏えいについてハント氏は、それ以前のセンシティブ性が比較的低いデータ漏えいとは異なり、誰でも自由にデータを検索できるようにはしないことに決めた。その代わり、専用の新機能を導入し、メールアドレスが本人のものであることが確認できたユーザーのみ、センシティブ性の高いデータ漏えいの被害にあっているかどうかを確認できるようにした。

「アシュレイ・マディソンのデータ漏えいに巻き込まれた人にとって、HIBPの使用目的は誰にも想像が及ばないほどの特別な意味合いを持つようになった」とハント氏は語る。あるユーザーは離婚による傷心の勢いでアシュレイ・マディソンのサイトに登録し、その後再婚したが、データ漏えいによって浮気性のレッテルを貼られてしまったとハント氏に話したという。また、別のユーザーは夫の浮気を疑い、現場を押さえようと同サイトのアカウントを作成したとハント氏に話したそうだ。

「誰でも検索できるということは時に不条理なリスクを人に負わせることがある。だからここは自分が判断して行動すべきところだと感じた」とハント氏は説明する。

アシュレイ・マディソンのデータ漏えいにより、ハント氏は保持するデータはできるだけ少ない方がよいという自分の考えが正しいことを再認識した。ハント氏のもとには、データ流出の被害にあった人から「流出した自分のデータを教えてほしい」というリクエストメールが頻繁に送られてくるが、同氏はそのようなリクエストへの対応はどれも断っているという。

「入手したすべての個人データをHIBPに投入して、電話番号や性別、流出した他のあらゆる情報を人々が検索できるようにすることは私の本来の目的ではない」とハント氏は語る。

「もしHIBPがハッキングされても、流出するのはメールアドレスだけだ。そんな事態は起きてほしくないが、もしそうなった場合に、パスワードまで一緒に保管されていて流出してしまったら、事態ははるかに深刻になってしまう」とハント氏は説明する。

とはいえ、メールアドレスとともにデータベースに投入されないからといって、流出したパスワードが無駄になっているわけではない。ハント氏はHIBPのサイトで、メールアドレスにひもづけされていない5億あまりのパスワードを検索できるようにしている。ここで検索すれば、ユーザーは自分のパスワードがHIBPのデータベースに投入されたことがあるかどうかを確認できる。

誰でも―テック企業でさえも―ハント氏が「Pwned Passwords(ポウンド・パスワード)」と名付けたページからパスワードの山にアクセスできる。Mozilla(モジラ)や1Password(ワンパスワード)などのブラウザ開発企業やパスワード管理ツールの開発企業は、HIBPと提携して同じデータベースにアクセスすることにより、以前に流出したことがあるパスワードや脆弱なパスワードをユーザーが使おうとすると警告を通知するサービスを提供している。イギリスやオーストラリアなど欧米諸国の政府も政府機関の認証情報が流出していないかどうかを確認するのにHIBPを頼りにしているが、このサービスもハント氏は無料で提供している。

「これこそHIBPの真価を発揮できる分野だと思う。政府関係者は大抵の場合、国と個人の安全を守るために、非常に過酷な環境の中で大した額の賃金を受け取ることもなく働いている」とハント氏は語る。

HIBPはデータの開示性と透明性を第一に運営されてはいるが、それでも、他の場合だったら(特に営利企業だった場合は)規制の壁と融通のきかないお役所的な手続きにがんじがらめにされるオンライン規制地獄に生きていることを、ハント氏は認識している。さらに、ハント氏が流出データをデータベースに投入していることに流出元の企業は必ずしも賛成しているわけではないが、ハント氏によると、HIBPのサービスを止めるために法的な措置を取ると警告してきた企業はまだないという。

「HIBPはそのようなことを超越するくらい筋の通った価値のあるサービスを提供しているのだと思いたい」とハント氏は語る。

HIBPをまねて類似サービスを提供しようとした企業もあったが、HIBPほど成功することはできていない。

「類似サービスが出てきたが、どれも営利目的で、そのうち起訴されてしまった」とハント氏は言う。

LeakedSource(リークドソース)は一時期、流出データをオンラインで販売する最大級の企業だった。筆者がこれを知っているのは、LeakedSourceが流出データを入手したいくつかの大規模なデータ漏えいについて報じたことがあるからだ。楽曲ストリーミングサービスのLast.fm(ラストエフエム)、大人の出会い系サイトAdult Friend Finder(アダルトフレンドファインダー)、ロシアのインターネット大手企業Rambler.ru(ランブレル)などは、そのほんの数例である。しかし、連邦政府当局が目をつけたのは、LeakedSource(経営者はなりすまし犯罪情報の不正取引疑惑について後に罪を認めた)が、不特定多数の人の流出データへのアクセス権を見境なく誰にでも販売していたことが理由だった。

「あるサービスの提供企業が、自社で所有するデータへのアクセス権を有償で提供することは極めて正当なことだと思う」とハント氏は言う。

HIBPでのデータ検索を有償にしても「私の眠りが妨げられることはない。ただ、有償化したことで何か問題が生じた時に責任を負いたくないだけだ」とハント氏は付け加えた。

プロジェクト・スバールバル

HIBPの立ち上げから5年後、ハント氏はこのままだとそのうち自分が燃え尽きてしまいそうな気がし始めた。

「このまま何も変えなかったら燃え尽きてしまうかもしれないと思った。HIBPプロジェクトを持続させるには変化が必要だったんだ」とハント氏は筆者に話してくれた。

ハント氏は、初めはわずかな空き時間を使っていたが、そのうち自分の時間の半分以上をHIBPプロジェクトに費やすようになったのだという。膨大な量の流出データを収集、整理、複製、アップロードするという日々の作業をさばくのに加えて、請求や税金に関する処理など、サイトの維持管理業務すべてを1人でこなさなければならなかった。そのうえ、個人としての事務処理作業もあった。

ハント氏は、HIBPの売却計画を、「人類のよりよい未来のために役立つもの」を膨大に収集しているノルウェーのスバールバル世界種子バンクにちなんで「プロジェクト・スバールバル」と名付けたことを、売却を宣言した2019年6月のブログの中で書いている。この売却プロジェクトは決して簡単に済む仕事ではないことが予想された。

売却の目的はHIBPのサービスの将来を確保することだった、とハント氏は語っている。また同時に、ハント氏自身の将来を確保するためのものでもあった。「買収する企業にはHIBPだけでなく、私のことも一緒に買ってもらう。もれなく私が付いてくることを承諾できない場合、取引はできない」とハント氏は語っている。また、同氏は自身のブログの中で、HIBPのサービスを拡大して、より多くのユーザーが利用できるようにしたいと書いたことがある。しかし、その目的は金銭的な利益ではない、と同氏は筆者に話した。

HIBPを管理する唯一の人間であるハント氏は、誰かが請求書の支払いを続ける限り、HIBPは継続していける、と言っている。「しかし、関わっているのが私1人であるHIBPにはサバイバーシップモデル(本人だけでなく周囲や社会が協力して問題を乗り越えていくという概念)が欠けている」と同氏は認める。

HIBPを売却することによって自分にかかる負担を減らし、サービスがより持続可能な状態にしたかった、とハント氏は語る。「もし私がサメに襲われて食べられてしまっても、サイトが停止しないためにね」と同氏は冗談交じりに言った。オーストラリアに住む限りサメに襲われるのは十分にあり得ることだからだ。

しかし、何よりも重要なのは、買い手がハント氏の要望を完璧に満たせるかどうかという点だった。

買収したいと申し出た多数の企業(その多くはシリコンバレー企業)とハント氏は面会を行った。買い手に求める姿ははっきりとしていたが、具体的にどの企業がその条件を満たしているのか、同氏にはまだわからなかったからだ。どの企業であれ、買収後もHIBPの評判を確実に守れる企業を選びたいと同氏は考えていた。

「もし、個人データを尊重する気がまったくなく利益を絞り取るためだけにデータを乱用するような企業がHIBPを買収したら、私にとって何の意味があるでしょうか」とハント氏は言う。買い手候補の中には利益重視の企業もいくつかあった。利益はあくまでも「付属的なものだ」とハント氏は語る。買い手にとって最大の関心事は、買収後も長期にわたり自社のブランドとハント氏を連携させることであるべきだった。つまり、ハント氏自身への評価と将来の仕事を独占的に買うのである。なぜなら、それこそHIBPの価値の源であるからだ。

ハント氏は、たとえ自分が関わらなくなってもHIBPを今のまま無事に継続させてくれると確信できる企業を売却先として探していた。「人々が私に抱いてくれている信頼と信用を別の組織に受け継ぐには何年もかかるものだといつも考えていた」とハント氏は語る。

ワシントンの米連邦議会上院エネルギー小委員会で証言するハント氏―2017年11月30日木曜日。(AP Photo/Carolyn Kaster)

売却先の選定プロセスとデューデリジェンス作業は「気が狂いそうになるほど大変だった。当初の予定よりも長引くことが何度もあった」とハント氏は語る。実際、この選定プロセスは何か月にも及んだ。その時期に感じた強いストレスについて同氏は率直にこう話している。「実は昨年初め、ちょうど売却プロジェクトを始めた頃に妻と別居し始めたんだ。そして、間もなく離婚した。売却プロジェクトの進行中に離婚まで経験するのがどういうことか想像してもらえると思う。とてつもないストレスを感じた。」

そして、およそ1年後、ハント氏は売却を取りやめたと発表した。機密保持契約があるため詳細を語ることはできなかったが、ハント氏は自分のブログの中で、売却契約を締結しようと決めていた買い手が不意にビジネスモデルを変えたため「取引そのものが不可能になった」と書いている。

「この契約がうまくいかなかったことを聞いてみんな驚いていたよ」とハント氏は筆者に言った。売却話は白紙に戻った。

今考えても、その売却話を断ったのは「正しい決断だった」とハント氏は断言する。しかし、その結果、売却プロジェクトは買い手が決まらず振り出しに戻り、同氏の手元には何十万ドルにものぼる弁護士費用の請求書だけが残った。

ハント氏の将来にとってもプライベートにとっても波乱万丈の1年が過ぎた今、同氏は休養するための時間を取り、激動の1年から通常のスケジュールに戻ることにした。そこに新型コロナウイルス感染症のパンデミックが襲ってきた。オーストラリアは他国と比べると被害が比較的軽く済み、ロックダウンも短期間で解除された。

ハント氏は引き続きHIBPの運営を継続していくことを表明している。これは彼が望んだ、あるいは期待した結末ではなかったが、今のところすぐに次の売却先を探す予定はないという。当面は「いつも通りサイトを運営していく」とハント氏は語る。

ハント氏は今年6月だけで1億200万件以上のデータをHIBPのデータベースに投入したが、それでも、もっと忙しい月に比べると6月は比較的穏やかな月だった。

「私たちは自分のデータを自分でコントロールできなくなっている」とハント氏は語る。そして、そういうハント氏でさえ例外ではないという。流出データ件数が100億件に迫る中、ハント氏自身も20回以上「Pwned(個人データをハッキングされた)」の経験があるそうだ。

今年初め、ハント氏は、とあるマーケティングサイトから流出した膨大な数のメールアドレスをデータベースに追加し、それを「Lead Hunter(リード・ハンター)」と名付けた。同氏は6800万件にのぼるデータをHIBPに投入した。同氏によると、公表されているウェブドメインレコードを誰かがかき集めてスパムメール用の巨大データベースに作り替えたのだが、それを別の誰かがパスワードをかけずにパブリックサーバーに放置したため、誰でも入手できる状態になっていた。それを見つけて入手した人がハント氏に手渡し、同氏はそれをいつものようにHIBPのデータベースに投入して、登録されている何百万人ものユーザーにメール通知を送信した。

「よし、作業完了だ、と思ったら、自分のメールアドレスにHIBPから『Pwned(流出しています)』という通知メールが届いたんだ。」

「自分でも意外なところで流出していて驚いているよ」とハント氏は笑って言った。

関連記事:Twitterは不正アクセスによってハッカーがユーザーのDMを盗み読みした可能性について答えず

カテゴリー:セキュリティ

タグ:コラム ハッカー

[原文へ]

(翻訳:Dragonfly)

Twitterは不正アクセスによってハッカーがユーザーのDMを盗み読みした可能性について答えず

Twitter(ツイッター)は、正規ユーザーが投稿できないようアカウントを一時停止するに至った7月15日のセキュリティー侵害事件の後、ユーザーアカウントのパスワードをハッカーが取得した「証拠はない」と語った。

アカウントの大量乗っ取りが始まってから丸1日になる7月16日に公開された一連のツイートで、Twitterは「攻撃者がパスワードにアクセスした証拠は発見されていません。現在のところ、みなさまがパスワードをリセットする必要はありません」と述べた。

「十分な注意を払いつつみなさまの安全を守るための7月15日の危機対応のひとつとして、Twitterは過去30日間にアカウントのパスワード変更を試みたアカウントの一時凍結に踏み切りました」とTwitterは説明した。「Twitterが実施した追加的な安全対策により、パスワードを変更できなかった恐れがあります。現在も凍結されているアカウント以外は、パスワードのリセットが可能になっています」。

Twitterは今回の不正アクセスのあと「みなさまのアカウントへのアクセスが回復できるようお手伝いしています」と話している。報道機関を含む多くの著名人や団体のアカウントが、7月16日の朝の時点でいまだアクセス不能になっている。凍結されたままでツイートができないアカウントも残されている。

暗号通貨サイトのアカウントが乗っ取られ、ありふれた暗号通貨詐欺の宣伝ツイートが投稿されるや、その事件のニュースは、まさに当該ソーシャルネットワーク上でリアルタイムに広がった。@apple(アップル)、 @binance(バイナンス)のほか、@billgates(ビル・ゲイツ氏)、@jeffbezos(ジェフ・ベゾズ氏)、@elonmusk(イーロン・マスク氏)といった有名企業や著名人のアカウントまでもが大量乗っ取りの犠牲になった。それらの合計フォロワー数は9000万人にのぼる。

暗号通貨ウォレットの公的記録では、わずか数時間で総額10万ドル(約1070万円)を超える数百回の取引があったことが示されている。

Twitterはその後、「弊社の従業員に狙いを定め、首尾良く内部システムとツールへのアクセスを成功させた人たちによる組織化されたソーシャル・エンジニアリング攻撃」と断定
Twitter Support投稿)した。

このTwitter事件を直接見聞きしているあるハッカーがTechCrunchに話したところによれば、Kirk(カーク)というハンドル名の別のハッカーがTwitter内部の「管理者」ツールへのアクセスに成功し、著名人や団体のTwitterアカウントを乗っ取って暗号通貨詐欺ツイートを拡散したとのことだ。

管理者ツールにほかのハッカーがアクセスしたかどうかはわからない。現在はFBIが事件の調査を行っていると同社の広報担当者は話していた。しかし、そのハッカーたちがアクセスした正確な回数や、彼らがユーザーのプライベートなメッセージを盗み読みしたか否かといった疑問はいまだ残されている。

米民主党上院議員のRon Wyden(ロン・ワイデン)氏は、2018年に行われた私的会合の声明の中に、Twitterの最高責任者であるJack Dorsey(ジャック・ドーシー)氏は、同社は「エンドツーエンドで暗号化されたダイレクトメッセージ(DM)に取り組んでいる」と話していたと書いている。Twitter社自身ですらユーザーのメッセージを読めなくする暗号化方式だ。

「あの会合からほぼ2年が経ちますが、TwitterのDMはいまだ暗号化されていません。従業員が社内システムの内部アクセス権を悪用した場合、さらにハッカーが不正アクセスした場合には、守りようがありません」とワイデン氏。「昨日の事件の背後にいるハッカーがTwitterのDMにアクセスしたかどうかは、いまだに明らかにされていませんが、これはあまりにも長い間放置されてきた脆弱性であり、ほかの競合プラットフォームではすでに存在していない問題です」。

「もしハッカーがユーザーのDMにアクセスしていたら、この浸入事件は、今後数年間にわたり、とてつもない衝撃をもたらすことになります」とワイデン上院議員は語る。

私はTwitterに対し、ハッカーがユーザーのDMにアクセスしたなんらかの証拠はないのか、従業員も対象とする不正アクセス防止対策として何を行っているか、エンドツーエンドの暗号化をDMに実装する計画はあるのかなど、DMに関する質問を向けてみた。

連絡をした時点では、Twitterの広報担当者はコメントを控えている。

関連記事:Twitterの暗号通貨詐欺の元凶は内部ツールに不正アクセスした一人のハッカー

画像クレジット:Getty Images

[原文へ]

(翻訳:金井哲夫)

Twitterの暗号通貨詐欺の元凶は内部ツールに不正アクセスした一人のハッカー

Twitter(ツイッター)で発生した連続アカウント乗っ取り事件は、この事件に関する直接的な知識を持つ情報筋によると、米国時間7月15日にTwitterネットワークの「管理者」ツールに不正アクセスした一人のハッカーの犯行と思われる。そのハッカーは、著名人のアカウントを乗っ取り暗号通貨詐欺のツイートを拡散した。

このアカウント乗っ取りの被害に遭ったのは、Twitterプラットフォームでも大変に名の知れたユーザーだった。そこには有力な暗号通貨サイトも含まれていたが、Bill Gates(ビル・ゲイツ)氏、Jeff Bezos(ジェフ・ベゾズ)氏、Elon Musk(イーロン・マスク)氏、民主党大統領候補のJoe Biden(ジョー・バイデン)氏といった超有名人も餌食にされた。7月15日、ViceはそのTwitterの管理者ツールに関する詳細を伝えている(Vice記事)。

Twitterの広報担当者にこの主張に関して質問したがコメントは得られなかった。後にTwitterは、一連のツイートを発表し、攻撃は「弊社の従業員に狙いを定め、首尾良く内部システムとツールへのアクセスを成功させた人たちによる組織化されたソーシャル・エンジニアリング攻撃」だったと語った。

地下のハッキング事情に精通する情報筋は、そのハッカーは「Kirk」(カーク)というハンドル名で知られる人間(もちろんハッカーの常として本名ではない)で、Twitterがアカウントの管理に使っている内部ツールにアクセスしてから、ものの数時間で10万ドル(約1070万円)以上を稼いだとTechCrunchに話した。ハッカーはそのツールを使い、本人が自分のアカウントをコントロールできなくするために、アカウントに登録された電子メールアドレスをリセットした。そして、暗号通貨詐欺のツイートを投稿した。金額に関わらず投資額を「2倍にして返します」というものだ。

その情報筋がTechCrunchに伝えたところによると、カークはまず、どうでもよさそうなTwitterアカウントへのアクセス権を販売するところから始めたという。ユーザーネームが短く、簡単で推測しやすいものだ。違法ではあるものの、それは大きなビジネスになった(Vice記事)。盗んだユーザーネームやソーシャルメディアのハンドル名には、数百ドルから数千ドルの値が付く。

カークは、盗まれたソーシャルメディアのハンドル名の売人に人気(Vice記事)のフォーラム「OGUsers」の「信頼できる」メンバーと通じているという。カークは、盗んだユーザー名を売りさばく手伝いをしてくれる頼りになるメンバーを必要としていた。

TechCrunchに掲載したDiscord(ディスコード)でのチャットのスクリーンショットには、「@とBTCを送って」というカークの書き込みが見られる。Twitterアカウントと暗号通貨のことだ。「そうすれば代わりに仕事してあげる」と彼は言う。Twitterアカウントの乗っ取りを示唆している。

そしてその日の遅く、カークは「あらゆるものへのハッキングを開始した」と情報筋はTechCrunchに話した。カークは、Twitterネットワークの内部ツールにアクセスしたものと思われる。そこは、Twitterの担当者がユーザーのアカウントを効率的に管理できる場所だ。TechCrunchが公開したスクリーンショットを見ると、あきらかに管理者ツールだとわかる。なおTwitterは、このツールのスクリーンショットをシェアしたユーザーのツイートを削除しアカウントを凍結(Vice記事)した。

Twitterの内部アカウント管理ツールと思われるスクリーンショット(提供された画像)

このツールは、表向きはTwitter内部の担当者が使用するもので、ユーザーアカウントにアクセスでき、アカウントに登録されたメールアドレスの変更やユーザーのアカウント凍結なども行える(実際のユーザーが特定できないようTechCrunchで写真を加工した)。

情報筋は、カークがどのようにTwitterの内部ツールにアクセスしたのか、その具体的な方法については話さなかったが、Twitter従業員の社員アカウントが乗っ取られたとも推測できる。従業員のアカウントを乗っ取れば、カークはTwitterの内部ネットワークに自由に入れるようになる。情報筋は、Twitterの従業員の一人がアカウント乗っ取りに加担したとは考えにくいとも指摘していた。

彼らのハッキング攻撃の一環として、カークは最初に暗号通貨交換サイトBinance(バイナンス)のアカウント「@binance」をターゲットにしたと情報筋は話す。そしてすぐに人気の暗号通貨アカウントに飛んだ。情報筋によれば、カークはユーザーネームの販売額を超える金額を1時間で稼いだという。

プラットフォームのコントロールを取り戻すために、Twitterは一部のアカウント操作を一時停止し、さらに検証済みのユーザーがツイートできないようにした。これは、アカウントの乗っ取りを食い止めようとしたあからさまな対応だ。Twitterは「できるだけ早く事態を平常に戻すための処置」だったと後にツイートしている。

関連記事:著名Twitterアカウントが暗号通貨詐欺にハックされる、アップルやバイデン氏、マスク氏などに被害

画像クレジット:Josh Edelson / Getty Images

[原文へ]

(翻訳:金井哲夫)

ソニーがPS4のバグ発見に500万円超の賞金を出すと発表

他人のPS4をレンガも同様に動かなくする方法や実行されるべきでないコードを実行させる方法などのハッキングを発見したら急いでソニーに知らせるといい。ソニーが開催しているチャレンジの賞金を受け取れる。

5月24日、ソニーは「バグ賞金かせぎ」(Bug Bounty Program)プログラムをスタートさせたことを発表した。PlayStation 4、オンラインのPlayStation Networkに影響を与えるバグや悪用可能な欠陥が新たに発見された場合、賞金が支払われる。

ソニーは、対象となるバグの種類について明確に示している。「PlayStation 4の現行版またはベータ版でシステム、OS、アクセサリに影響するか、PlayStation Networkドメインないし APIのいずれかに影響する」可能性のあるものだ。ソニー社員に対するソーシャルエンジニアリングやサーバーに対するDDoS攻撃のような戦術は対象とならない。

PlayStation Networkで発見されたバグは通常100ドル(約1万円)から3000ドル(約32万円)、または深刻度に応じてそれ以上が支払われる。一方PS4専用機に関連して発見された重大なバグには5万ドル(約535万円)以上の賞金が用意されている。対象範囲など正確な情報はこのチャレンジに協力しているHackerOneのページを参照してほしい。なお、PS4がターゲットだという点に注意されたい。古いPS2を壊す方法を発見するのもクールだが、それにはソニーは賞金を払わない。

「バグ賞金かせぎ」を発表したブログ記事でソニーは「従来、この種のプログラムは特に広報を行わず、少数の専門家向けに実施してきた。しかし今回はスキルと関心があるるすべての人々が参加できるようにした」と述べている。HackerOneのこのプログラムに関するページによれば、ソニーはこれまでにバグの発見者に17万ドル(約1820万円)を支払っているという。賞金の1件あたり平均額は4万3000ドル(約460万円)程度だという。

マイクロソフトも今年初めにXbox Live向けに同様のバグ発見に賞金を出すプログラムを実施している。

原文へ

(翻訳:滑川海彦@Facebook

データ漏洩通知は行間を読め、本当の意味を解読する方法

私は長年に渡り何百、いや何千というデータ漏洩通知を見てきた。データ漏洩通知とは、ある企業のデータが紛失や盗難に遭った場合や、データが誰にでもアクセスできる状態でオンライン上に置かれていたことがわかった場合にそれを警告するものである。

データ漏洩通知の文面はどれもおおよそ似通ったものだ。私の役目は、個人情報がリスクに晒されている被害者のために、通知書が実際に伝えている真の内容を読み解くことである。

データ漏洩通知は、いつなにが起きたのか、それによってデータ漏洩を受けた人々にどのような影響が予測されるかを伝えるのが本来の役割だ。今年に入ってから皆さんは既に 2、3 の通知をご覧になったのではないだろうか。というのも、ほとんどの米国の州には、データ漏洩などのセキュリティーインシデントが発生した場合、企業はそれをできるだけ速やかに公表しなければならないという法律があるからだ。欧州の規則はより厳格で、侵害が開示されなかった場合には罰金が課せられるのが普通である。

しかし、データ漏洩通知は危機コミュニケーションにおいて、あまりにあたりさわりのないものになってきている。企業は非難をそらし、重要な詳細を難解にし、また重要な事実を省略する形で通知書を作成している。結局企業の最大の関心事は株式市場を良好に保ち、投資家を満足させ、取締当局に目を付けられないことにある。これらの逆を行くようなことを企業が言いたがるだろうか?

次回データ漏洩通知を受け取ったら、行間を読むようにしていただきたい。回避すべきくだらない文章を把握することによって、本当に問わねばならない事柄はなにかを理解することができる。

「当社はセキュリティおよびプライバシーを重視しています」

本当の意味: 「当社では、はっきり言うとセキュリティーやプライバシーを重視していません」

これはデータ漏洩通知に頻繁に出てくる文言である。この記事に先立ち、昨年TechCrunchはセキュリティーおよびプライバシーを「重視」している企業についての記事を掲載した。当誌は、2019 年にカリフォルニア州司法長官に提出された全通知のうち約3分の1にこの文言と似たりよったりの文章が使用されていることを突き止めた。現実には、ほとんどの企業は個人情報のプライバシーやセキュリティーに大きな関心を払ってはいない。彼らが気にするのはデータが盗まれたという事実を顧客に説明しなければならないということである。これは空虚で使い古された意味のない文章である。

「当社は最近セキュリティインシデントが発生したことを突き止めました…」

本当の意味: 「セキュリティインシデントの発生を突き止めたのは他の誰かです。しかし当社は被害の抑制に努めているところです」

これは無害に聞こえるが、正しく捉える必要のある重要な発言だ。企業がセキュリティインシデントを「最近突き止めました」と述べた場合は、そのインシデントを実際に報告したのは誰かを質すべきである。企業の顧客データベースが含まれたファイルをハッカーが漏えいしたといった事態が発生すると、コメントを求められるのは多くの場合、私のような記者である。慌てた企業は、そのインシデントを突き止めたのは自分たちだというように装おうとする。そのほうが世間に聞こえがいいからだ。

「権限を持たない何者かが…」

本当の意味: 「誰のせいかはわかりません。しかし当社を非難するのはやめてください」

これはデータ漏洩通知の中で最も論争の的となる部分の 1 つであり、つまるところ、誰がセキュリティーインシデントの責任を追うべきなのか、という簡単な問いにたどり着く。法的に言って「不正アクセス」とは、多くの場合何者かが他人のパスワードを用いて、あるいはログイン画面を迂回してシステムに違法に侵入することを指す。しかし企業はしばしばこれを誤解し、あるいはそのインシデントが悪意のあるものかどうかを区別できない、または区別するのを望まないことがある。システムがパスワードによる保護なしにオンラインにさらされたり、放置されていた場合、責められるべきはセキュリティ管理が不十分な企業である。セキュリティーリサーチャーが保護の十分でないシステムを発見し、善意で報告した場合は、彼らを悪意のある人物として描く必要はないのである。企業は責任転換をしたがるものだ。こちらとしては先入観を持たないようにしなければならない。

「当社は直ちに対策を講じました…」

本当の意味: 「当社は直ちに対策を…どのような対策を取ったらいいか分かり次第対策を講じました」

ハッカーは必ずしも捕まるとは限らない。多くの場合、ほとんどのハッカーは企業が侵害に気付くずっと前にその場を立ち去っているものだ。企業が直ちに対策を講じたと言っても、侵害の端緒から企業が対策を講じたとは考えないことだ。Equifax(エクイファックス)は、ハッカーにより1億5000万人近くの消費者のクレジット記録を盗まれたインシデントで、侵入を阻止するために「直ちに対策を講じた」と発表した。しかし、エクイファックスがその疑わしい活動を発見するまでに、ハッカーは既に2か月間もそのシステム内で活動していた。本当に重要なのは、そのセキュリティインシデントが発生したのはいつか、企業がそれを発見したのはいつか、そして企業がその侵害を管轄当局に届けたのはいつか、なのである。

「当社の犯罪調査で明らかになったのは…」

本当の意味: 「当社は、当社がどれだけヤバい状況なのかを教えてくれるようある人物に依頼しました」

インシデントレスポンダーは侵入またはデータ漏洩がどのように起こったかを解明し、企業がサイバー保険から保険金を受け取り、同様の手口による侵害の再発防止をサポートする。しかし、一部の企業は「犯罪調査」という用語を大まかに用いている。内部調査には透明性や説明責任が伴わず、その結果が精査されたり、公表されることはめったにない。インシデントレスポンダーは、調査結果が公表されない場合であっても、企業が聞きたいと思っていることではなく、企業が聞く必要のあることを企業に伝える役目を持った独立した有資格の評価者である。

「念のため、当社よりインシデントの発生を報告いたします」

本当の意味: 「当社はインシデントの発生を報告するよう強制されました」

一瞬でも、その企業がセキュリティーインシデントを開示したからといって「正しい行い」をしていると考えてはいけない。欧米では、企業には選択権が与えられていない。ほとんどの州には、一定以上の住民に影響を及ぼすインシデントについて企業がこれを開示しなければならないとするなんらかのデータ漏洩通知法があり、侵害を開示しない場合巨額の罰金が課せられる可能性がある。(TechCrunchと同様、Verizonが所有する)Yahooの例を挙げると、同社は、5億のユーザーアカウントが漏洩したデータ漏洩の1つを開示しなかったため、2018年に米国連邦規制当局により3500 万ドル(約37億7000万円)の罰金を科された

「巧妙なサイバーアタック…」

本当の意味:「当社は実際ほど間抜けに見えないよう取り繕っています」

企業が「巧妙な」サイバーアタックの被害に遭ったと言ったからといって、必ずしもそれが本当だったとは限らない。これは誇張であり、セキュリティインシデントを過小に扱って「隠蔽工作」するための発言である。この文言が実際に語っているのは、どのように攻撃が起こったのかその企業には見当がついていないということである。結局のところ、歴史上最大の侵害の一部は、パッチ未適用のシステム、脆弱なパスワード、または誰かが悪意のある電子メールをクリックしたことが原因で発生した。

「データが盗難に遭ったことを示す証拠はありません」

本当の意味: 「当社の知る範囲では」

「証拠はない」という文言は、何事も起こらなかったということを意味するのではなく、なにかが起こっていてもそれがまだ分かっていないということである。その企業は盗難被害について十分厳密に調査をしていないか、把握していないのである。企業がデータの盗難に遭ったことを示す「証拠はない」と言った場合でも、なぜそのような結論に至ったのかを問いただす価値はある。

「影響を受けるのはごく一部のお客様です」

本当の意味: 「『何百万ものユーザー』と言ってしまうと大変聞こえが悪い」

次回データ漏洩通知に、「侵害により影響を受けるのは『ごく一部の』お客様です」と書かれていたら、これが実際何を意味するのかちょっと考えて欲しい。Houzz(ハウズ)は 2019年1月にデータ漏洩に遭ったことを認めたが、その際同社は「当社のユーザーデータの一部」が流失したと述べた。数か月後、ハッカーが5700万ものHouzz(ハウズ)ユーザー記録を投稿した。CBSが所有するLast.fm(ラストエフエム)も2012年に侵害によりパスワードの「一部」が盗まれたと発表したが、後にその数は4300万と判明した。企業が影響を受ける人数を言わないのは、実際に知らないか、知られたくないからなのである。

関連記事:マリオットホテルが再度のデータ漏洩で520万人分の顧客記録を流出

Category:セキュリティ

Tag:データ漏洩 ハッカー

[原文へ]

(翻訳:Dragonfly)