AdultFriendFinderやCams.comなどのサイトを運営するFriend Finder Networksでのデータ漏洩により、4億人以上のアカウントが影響を受けた。
LeakedSourceの研究者によると、この侵害は2016年10月に発生したという。同サイトでは通常、ハッキングの影響を受けているかどうかを確認するために、侵害されたデータを検索できるようになっているが、Friend Finder Networksの多くの資産が機密性が高いため、LeakedSourceは情報を公開しなかった。しかし、2015年初頭にハッキングを受けた後も、Friend Finder Networksが顧客データを保護できなかったことが明らかになった。
最も顕著な問題は、多くのパスワードが平文で保存されていたか、SHA1ハッシュに欠陥があったことです。どちらも特に安全とは言えず、Friend Finder Networksのデータを盗んだ者は、同社のサービスを利用したほぼ全員のパスワードを知ることができる可能性があります。これにより、個人情報が漏洩したり、オンラインでなりすまし被害に遭ったり、5億人弱の人々に様々な問題を引き起こす可能性があります。
これらのパスワードを保護できないと、他のアカウントも脆弱になる可能性があります。多くの人が複数のサイトでパスワードを使い回しているため、1つのサイトでパスワードが漏洩すると、連鎖的に被害が広がり、その人のデジタルライフ全体が危険にさらされる可能性があります。また、誰かのアカウントにアクセスできれば、2012年のLinkedInデータ漏洩で流出したパスワードを利用したメールやSkypeで既に発生しているようなフィッシング攻撃が可能になる可能性もあります。
つまり、今回のデータ漏洩によって4億人以上が危険にさらされているということです。フィッシング攻撃は、多くの場合、少数の被害者に限定されるのではなく、侵害されたアカウントに紐づくすべての人を標的とします。個人間の隔たりは6次の隔たりしかないという考え方を信じるかどうかに関わらず、数億ものアカウントが10億人以上を標的にするために利用される可能性があることは容易に想像できます。
Friend Finder Networksは顧客データを削除しなかったことで、問題を悪化させました。LeakedSourceによると、約1500万件のアカウントが「@deleted.com」で終わるメールアドレスで発見されました。これは、どのサイトも新規アカウント作成時にこのドメインの使用を許可していないドメインです。これは、誰かが顧客情報をすべて削除しようとし、変更されたメールアドレスを使って痕跡を隠蔽しようとしたとしても、Friend Finder Networksが顧客データを保存していたことを示唆しています。
LeakedSource はこの慣行について次のように述べています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
このような状況はこれまでにも何度も見られましたが、おそらくアカウントを削除しようとしたユーザーが、私たちが確認しているデータはまだ残っているのでしょう。ある記者によると、このような形式のメールアドレスではアカウントを登録できないとのことです。つまり、「@deleted.com」の追加はAdult Friend Finderによって裏で行われたということです。つまり、末尾近くに「@deleted」が含まれるメールアドレスの数を数えると、AdultFriendFinder.comには15,766,727件の「削除済み」アカウントが存在することになります。
LeakedSourceは、これらのウェブサイトへの登録に使用されたメールアドレスや、AdultFriendFinderなどのサービスが受け取ったトラフィック量などに関する情報も入手しました。今回の侵害によって影響を受けた人の数、そしてFriend Finder Networksのシステムに侵入した者が入手した情報の量を考えると、これは2016年最悪のハッキングとなる可能性があります(しかも、これらのサイトの機密性を考慮する前の話です)。
2015年にFriend Finder Networksがハッキング被害に遭ったことを考えると、こうした事態はさらに恐ろしい。同社は当時、セキュリティ企業FireEyeおよび法執行機関と協力し、400万人が影響を受けたと推定されるこの侵害の調査に取り組んでいると発表していた。しかし、同社の対応は不十分だったに違いない。2年も経たないうちに再びハッキング被害に遭っただけでなく、基本的なセキュリティ対策さえ講じていなかったのだ。
安全でないIoT製品から生じる、いわゆる「脅威のインターネット」には、ほとんど希望が残されていない。これらのデバイスは、大手ウェブサイトをダウンさせるのに利用される可能性がある。10月にDynが大規模なDDoS攻撃を受けたのもまさにその例だ。しかし、メーカーは依然としてセキュリティを優先事項として扱っていない。政治家たちは規制当局にこの状況を変えるよう求めているが、カムショーや出会い系サイトに特化した企業が、最初のハッキングを受けた後にユーザーのパスワードを正しくハッシュ化することすらできないのであれば、他の多くの企業がセキュリティを真剣に考えるようになると誰が信じられるだろうか?
Friend Finder Networksはこの侵害についてまだコメントしていません。Tom's Hardwareは同社に連絡を取り、回答があれば更新します。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
