Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

漏えいした機微情報は攻撃材料の宝庫

「人生一度。不倫をしましょう」のキャッチコピーが印象的な既婚者向け出会いサイトAshley Madisonから登録利用者3,200万件の個人情報漏えいが報じられて5年が経過しますが、未だに被害が続いている様です。

www.itmedia.co.jp

 

 既婚者の不倫を奨励しているカナダの出会い系サイト「Ashley Madison」が2015年にハッキングされた事件に関連して、事件から5年たった2020年になって、同サイトの会員を脅迫する内容の電子メールが出回っているという。電子メールのセキュリティ対策を手掛けるフランスのVade Secureが2020年1月31日のブログで伝えた。

 2015年に起きた事件では、Ashley Madisonのアカウント3200万件がハッキングされ、何者かが「会員情報を暴露する」と脅迫。同年8月には、会員情報を含んだ9.7GBのデータがダークWebに投稿された。この中には会員の住所、氏名、電話番号などに加え、会員が同不倫サイトに求める内容なども含まれていた。

(ITMedia記事より引用)

 

キタきつねの所感

当時の経緯を振り返ると、

2015年7月に、サイト閉鎖を要求する「Impact Team」に対して運営側(Avid Life Media)が脅迫に屈しなかった事からダークウェブ上に約3,200万件の利用者の情報(名前、パスワード、電話番号、クレジットカード情報等)が公開された他、運営の内部文書やメールなども公開されました。この”漏えい”により離婚者、自殺者が続出する等、大きな混乱が連日報じられていました。

参考:不倫サイト情報流出で2人自殺か カナダ警察 写真1枚 国際ニュース:AFPBB News

 

またKrebs on Securityの記事で、脅迫の前に、Ashley Madisonのソースコードが公開されている事が判明しましたが、こうしたソースコードから判明した脆弱性を突いて「Impact Team」以外のハッカーも侵入したと言われています。

krebsonsecurity.com

 

事件後の調査結果では、登録されている女性ユーザのほとんどが偽物(fembot:チャットボット)であった事や、有償オプション(19ドル)の「完全削除」が会員プロフィールを永久に消すと説明されていたのに、実はプロフィールデータのみが削除され、会員の実名、請求先住所、最後の支払い金額、決済日時、利用した端末のIPアドレス等の決済データがサーバに残されていて、過去の会員も個人情報漏えい”被害”に遭った事が報じられます。」

 

参考:

Ashley Madison事件が紐解く人間の業(Kasperskyブログ)

【エンタメよもやま話】コンピューター相手に不倫、だまされた会員3900万人…自殺者も出た「A・マディソン」を米当局が調査(1/4ページ) - 産経ニュース


これらの情報を入手したハッカーは、冒頭の記事にある2020年の攻撃以前にも継続的に(当時の)ユーザを脅迫(フィッシング)しています。

 

2015年~2016年頃の脅迫ケースだと、Ashley Madisonに登録されていたEメールへの直接的な脅迫メールの他、Facebookアカウントを特定して、一般公開設定の「友達」に情報を暴露されてなくなければ、5Bitcoin(当時約400万円)を支払え・・といった脅迫ケースもありました。

参考:Bamboozled: Are Ashley Madison customers getting scammed again? - nj.com

 

 

前置きが長くなりましたが、しばらくあまり事例がでなかったAshley Madison登録情報を使った攻撃が、2020年に入って何故再燃したかと言えば、電子メールのフィルターを回避する為の「パスワード保護されたPDFファイル」にある様です。脅迫手口については、Threatpost(英語)に詳しく出ていたので引用すると、下記の様なメールが送信されてきている様です。

アシュリーマディソン強要詐欺メール

被害者は、ビットコインの身代金(以下のサンプルメールでは合計で約0.1188ビットコイン)を支払わない限り、アシュリーマディソンアカウントを他の恥ずべきデータとともに、ソーシャルメディア上および電子メール経由で家族や友人に公開すると脅迫する電子メールを受信して​​います$ 1,059)。

研究者によると、これらの電子メールは、影響を受けるユーザーの名前、銀行口座番号、電話番号、住所、誕生日などのアシュリーマディソンの違反からの情報、および登録日やセキュリティへの回答などのアシュリーマディソンのサイト情報を含む質問。

不正なウェブサイトユーザーであることに関連する恥に加えて、研究者たちは、サイバー犯罪者も被害者によって行われたと思われる過去の購入を利用していると述べています。メールの1つ(上記)は、「男性支援製品」の以前の購入についても言及しており、「AMadisonで見つけたパートナーは、楽しい時間を過ごすために「化学ヘルプ」を使用していることを知っていますか?」

Threatpost記事より引用)※機械翻訳

 

 

5年経過しても同じメールアドレスを使っているのか?と言った疑問は出るのですが、その他の機微な個人情報も漏えいしていると考えると、Facebook等の実名SNSサイトで本人特定までされてしまう方が居ても不思議ではありません。

別な見方をすれば機微な個人情報程、運営側はセキュリティ管理が求められる訳ですが、利用ユーザ側も万が一運営側が情報漏えいしたとしても、耐えられる事を前提にサービス利用をすべきと言えそうです。

不正に情報を入手した攻撃者は2度、3度と情報を加工(追加調査)して脅迫してくるかも知れない、それが昨今のサイバー攻撃のリスクと認識すべきなのです。

 

余談です。「不倫=自業自得」という冷ややかな目で見る読者の方が大半かと思いますが、この事件はセキュリティを考える上で、様々なポイントが見出せる良い教材になる気がします。

 

更に余談です。女性にBOTが多いと報じられても、未だにAshley Madisonは閉鎖してません。会員数は・・と探してみると(真偽のほどは分かりませんが)、約6,000万人時より増加している記事を見かけました。時代が「不倫は文化」に追いついてきたのかも知れません。

参考:安全・安心な「社内不倫」を後押しするマッチングサイトが登場!?

 

 

 

f:id:foxcafelate:20200214212423p:plain

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

 

 マッチングアプリのイラスト

 

 

更新履歴

  • 2020年2月8日 AM(予約投稿)