Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

アシュレイ・マディソンが再び情報漏えいか!?

12/10のForbesに記事に出ていましたので、東スポ風のタイトルと共につぶやいてみます。

forbesjapan.com

記事を読むと、2度目は事件ではなく、セキュリティ専門家が脆弱性を指摘して運営側が直した、という内容だった事が分かりました。ある意味ホワイトハッカーで良かったという所なのでしょうが、もしこれが本当に2度目の事件となった場合、その情報の機微性が(更なる)会員退会へとつながり、サービスを止める位のダメージを受ける事になったのではないでしょうか。そうした意味では、日本でも情報を多く抱える大手サービスプロバイダーは、定期的に(ホワイトハッカーの)脆弱性診断を受けないといけない時代なのだと改めて実感します。

(2016年4月にCEOに就任したロブ・セガール氏のコメント)ハッキングに関しては、具体的に何があったのかは、私たちにもまだわかりません。現在も調査を続けており、その対策は同時進行になりますが、企業として可能なかぎりのことはしていくつもりです。具体的にはセキュリティ面に関しては数百万ドルを投資して対策を講じており、(コンサルティング会社の)デロイトのサイバーセキュリティチームのスタッフが365日24時間態勢でサイトを監視しており、BCI(Business Continuity Institute=事業継続協会)からも最も高いレベル1の認証を受けています。ただ、どのような大企業でもハッキングのリスクはあるということはユーザーにも認識していただきたい 引用:東洋経済記事

この認識は今でも(様々な企業のサービスにおいて)正しい、と私は思います。

 

因みに、前回の事件は、2015年に世界最大の不倫サイトである、アシュレイ・マディソンで発生したハッキング及び、3200万人会員情報(メールアドレス、電話番号)がダークウェブで公開された事件は、サービス提供者および、その会員登録者双方にとって機微な情報が漏えいされる事による影響を改めて世間に知らしめました。カナダ(アシュレイ・マディソンの本拠地)では2名の関連自殺者が出たとの報道があったり、集団訴訟が起こされたりもした事もありますが、何より暴露されて問題となったのが、実は女性会員はさくらばかりだった・・という下記のGizmode調査情報かもしれません。

www.gizmodo.jp

米GizmodoのAnnalee Newitz編集長がデータをダウンロードして検証してみました。その結果、Impact Teamの言う通り、女性ユーザーはほぼ全員偽物=サクラだというとんでもないことがわかってしまいました

ewitz編集長が調査を進めれば進めるほど、これら550万人の女性ユーザーアカウントのほとんどが動きのないものだということがわかってきました。彼女たちはサイトを使ってどの男性と会話することもないどころか、プロフィールページを作ったあと、サイトを利用すらしていなかったのです。いや、550万人すべてがそうではありません。実際に活動していた女性アカウントもありました。が、それはたった1万2000件という非常に少ない数だったのです。

調査でわかったことを見ていけば、アシュレイ・マディソンに登録していた男性ユーザーの多くは不倫をしていなかったというのを否定しがたくなってきます。では、彼らは何にお金を払っていたのかと聞かれたら、それは、悲しいかな「不倫というファンタジー」と言わざるをえません。 引用:Gizmode記事

 

女性会員の多くが架空アカウントであり、女性BOTも動いていたと、暴露されては、ある意味、不倫の意欲がある女性が多く集まる所に来る男性に対する課金モデル、モデル自体の存在がとても怪しくなります。とはいえ、今もサイトは生きているので、事件後に相当数の退会はあったのだろうと思いますが、未だに出会いの場としては有効な(部分もある)のでしょう。

 

news.livedoor.com

とはいえ、このサービス程に機微な情報をネットで扱うのであれば(例えば医療系サービスなどですが)、会員側に対して2要素認証(OTPトークンでも生体認証でも・・)位は提供しても良いのではないかとは思います。認証を強化して安全性を高めることが、匿名性(セキュリティ)を重視する顧客のニーズとも合致するのではないでしょうか。(いずれにせよ、私が使うサービスではなさそうですが・・・)

 

f:id:foxcafelate:20171210190140j:plain

 

更新履歴

  • 2017年12月10日 PM(予約投稿)