今年の7月、「人生は短い。不倫をしましょう」と謳う出会い系サイト「Ashley Madison」のサーバーから大量の情報が盗み出された。詳しい経緯は前回の記事をご覧いただきたい。
世界最大の不倫サイト「Ashley Madison」から情報流出 ハッカーの「暴露」に怯える利用者たち
Impact Teamを名乗る攻撃者は7月、Ashley Madisonを運営するAvid Life Media(以下ALM社)のサーバーから盗み出したデータのごく一部を公開すると共に、同社に対してサービスの閉鎖を求め、「この要求が受け入れられなかった場合、会員たちの極めてプライベートなデータをオンラインに晒す」と脅迫していた。
そしてImpact Teamは8月18日、取引に応じなかった同社に「時間切れ」を伝え、会員情報の公開に踏み切った。この流出でダークネットに晒された会員のアカウント数は約3200万件(一説によれば3300万件)。9.7GB分ものデータには、会員の氏名、住所、メールアドレス、7年分のクレジットカードの取引記録、個人的な性的嗜好、また一部にはGPSのロケーション情報なども含まれていた。
Hackers Finally Post Stolen Ashley Madison Data(WIRED)報道する北米メディアと、求める読者
北米では、一般紙から経済紙まで様々なニュースサイトが、この大規模な流出事件をまるで待ち構えていたかのような素早さで一斉に報じた。それらの記事の多くには「ついにAshley Madisonの会員情報が流出!」と派手に見出しがつけられたが、一方で「まだ流出したデータが本物かどうかはわからない」と慎重な見解を示す媒体もあった。しかし、その後の調べにより「本物のデータである可能性が極めて高い」という見方が広まった。決定打となったのは、今回の事件を最初に報じたセキュリティ専門家Brian Krebs氏の「すべては、それが本物のデータであることを示している」との見解だろう。
The Ashley Madison Data Dump, ExplainedThe Impact Team Exposes 32 Million Ashley Madison Users(Bloomberg)Was the Ashley Madison Database Leaked?(Krebs on Security)
このとき多くのメディアは、ALM社の対応や犯人の正体よりも、「Ashley Madisonを利用していた会員は、どのような人々だったのか?」という話題に焦点を当て、ダークネットに公開されたデータの山から、被害者の実態を暴こうとした。それは読者のニーズに、極めて素直に応えた報道だったといえるだろう。
とりわけ、「Ashley Madisonのアカウントを取得していた政府や軍の関係者は1万5000人以上にのぼる」というデータは、流出事件の直後から派手に、半ば面白おかしく取り上げられて一気に拡散した。この数値は、「t0x0pg」のハンドルを持つ人物が、いち早くPastebinで公開したリストによるもので、それはアクセス記録から得られた情報ではなく、単に「.gov」「.mil」ドメインのメールアドレスで登録を行われているアカウントの数を数えたものだった。
Government workers cope with fallout from Ashley Madison hack(CNN)
この話題を伝えるCNNの報道
つまりプライベートのアドレスを使うことも、フリーメールを取得することもなく、「国から発行されているアドレス」を利用して不倫専門の出会い系サイトに会員登録した、信じがたいほど迂闊な政府や軍の関係者が1万5000人いたということになる。それよりもはるかに多くの人々が、同じサービスに登録していたはずだと考えるのが道理だろう。また「家族に知られないように」職場のアドレスを使ったのであれば、勤務時間中サービスを利用していた可能性も高そうだ。
政府や軍のメールアドレスで登録されていたアカウント数のグラフ。ご覧のとおり米陸軍のドメインが圧倒的で、米海軍、米海兵隊が後に続く。
一方、英国のITメディア『 The Register』 は「Ashley Madisonのアカウント登録に利用された IT 企業のアドレス」のグラフを公開した。ここではIBMが圧倒的なリードを示し、さらにHP、Cisco、Apple、Intelなどの一流企業が名を連ねた。米軍の登録者よりははるかに少ない数ではあるが、一般企業よりセキュリティに関する意識が高いと考えられる企業でも、職場のアドレスを利用して不倫サイトへの登録を行ったスタッフが数十人、数百人の単位で存在していたという話には、ただ驚くしかない。
このようにして、Ashley Madisonの会員たちに関するニュースは、「サイバー犯罪の犠牲者」というより、「天誅をくだされた間抜けな浮気者」のように伝えられた。
追い詰められた被害者たち
しかし、この事件で追い詰められた被害者にとって、それは笑い事で済まされる話ではない。Ashley Madisonは単なる出会い系サイトではなく「不倫」を前面に押し出したサービスであるため、その情報流出は一家離散に結びつくだけでなく、多額の慰謝料を請求する裁判を起こされた場合にも立場が悪くなる。
また北米では「最終的に何よりも大切なのは家族愛」という価値観が尊重される傾向がある(たとえ、それがうわべだけの話であろうと)。つまり、いったん「家族を裏切った人間」というレッテルを貼られた場合、どのような業種であれ職場に居辛くなる、あるいは何かしらの理由をつけて解雇されるといった悲劇も起こりえる。まして教職や聖職に就く人物や、企業を代表する立場の人物なら、その悲劇が起こる可能性は高い。
9 Questions Employers Need to Answer Before Firing an Ashley Madison Customer
Entrepreneur Mediaに掲載された記事「あなた会社の従業員がAshley Madisonの会員であると判明したとき、その人物を解雇する前に、経営者が確認するべき9つのこと」Headhunter: 3 Reasons You Will Lose Your Job If You're On the Ashley Madison List
observer.com に掲載された記事「Ashley Madisonのリストに掲載されていた場合、あなたが職を失う3つの理由」
これまでに築き上げてきた財産、家庭、業績、そして周囲からの信頼が一度に失われた被害者の絶望は計り知れない。
Ashley Madisonへの会員登録が暴かれたことを理由とした自殺が初めて報告されたのは8月18日、データ流出の事件が一斉に報道された当日だった。シカゴのイリノイ州にマイホームを持つ2児の父だったドナルド氏は、自らの命を絶つ前に、以下のような遺書を妻に残した。「私が不誠実であったことを申し訳ないと思う。きっと君は子供たちを連れて私の元から去るのだろう。そして私は君の父親の会社からも解雇される。(中略)君にとって簡単になるようにしておくよ。すべては君のものだ。さようなら」
Man Outed In Ashley Madison Hack Commits Suicide(United Media Publishing)
遺書が公開されたサイトの一例
インターネットの匿名スペースに罵詈雑言が並びやすいのは、どこの国でも同じだ。このニュースのコメント欄には、「いいね。浮気者は死に値する!」「こんな××野郎に涙を流す者はいない」「1人のゴミ人間が、ゴミ箱に行っただけ。残りの3800万人も後に続け」などといった容赦のないコメントが次々と寄せられた(3800万人というのは、今回の漏洩件数ではなく、同社のサービスの全アカウント数として伝わっている数)。もちろん、それらの罵倒を諫めるコメントも書き込まれたものの、ドナルド氏と似た状況下の人々は、氏の名前や家族構成、遺書までが即座にメディアで公開されたこと、その記事に寄せられたコメントが手厳しいことを知り、ますます絶望的な気持ちになっただろう。
しかし人々の好奇心は止まらない。もっと"楽しい"情報を求め、流出データのサルベージを行う人々が増える中、「あなたのメールアドレスが漏洩していないかどうかを調べるサービス」も次々と登場した。これらは本来の用途だけでなく、自分の配偶者が会員登録していないか確認したい人々、あるいは知人や従業員のメールアドレスを検索したい人々にも利用されたことだろう。各サービス自体の安全性を確認できていないので、それらへのリンクは掲載しない。
読者の皆様には、Impact Teamによってオンラインに放たれたデータは、決して探そうとしないことを強くお勧めする。その情報のダウンロードを申し出るサイトのほとんどは、犯罪者による偽物のサイトであり、それを閲覧した人物が様々なマルウェアに感染する可能性は「極めて」高い。あくまでもGoogle検索で閲覧できるサイトしか見るつもりはないし、ダークネットに入り込まなければ大丈夫だろう......と考えるのは非常に危険だ。むしろ詐欺師たちは、そのような「お気楽で好奇心の強い人々」を狙っている。
How to search the Ashley Madison leak
データが検索されていることを伝えるWashington Postカナダ・トロント警察の対応
ALM社のあるカナダでは、8月24日、トロント警察(Toronto Police Service)のBryce Evans氏が声明を発表した。「これはもう楽しいゲームではない。われわれは家族のことを話している。その子供たちの話をしている。彼らの人生に影響が及ぼされる問題だ」とコメントした彼は、被害者たちが送りつけられた恐喝のメールも読み上げた。「あなたの友人や家族、雇用主に、あなたの汚れた情報をすべて共有されたくなければ、1.05ビットコイン(およそ3万円)を月曜の午後までに送れ」
'This isn't fun and games anymore': Toronto Police issue stern warning to Ashley Madison hackers(National Post)
National Postの記事「もう、この事件は楽しいゲームではない」
続いて彼は「オンラインに流出した、あなたのAshley Madisonの情報を削除します」と申し出ることで、被害者から金を騙し取ろうとする詐欺団体が存在していること、また今回の情報流出を苦に命を絶ったカナダ市民が新たに2名いるようだということを発表した。ただし米国と異なり、彼らの詳細情報は公開されていない。
この声明の中では、トロント警察がオンタリオ州警察や王立カナダ騎馬警察、米国連邦捜査局、米国国土安全保障省と共に、流出した会員の個人情報に関して詳細な捜査を続けていることも語られ、また、それらの捜査を支援する「善玉ハッカー」の協力が求められた。
世界最大の不倫サイト「Ashley Madison」から情報流出 ハッカーの「暴露」に怯える利用者たち
Impact Teamを名乗る攻撃者は7月、Ashley Madisonを運営するAvid Life Media(以下ALM社)のサーバーから盗み出したデータのごく一部を公開すると共に、同社に対してサービスの閉鎖を求め、「この要求が受け入れられなかった場合、会員たちの極めてプライベートなデータをオンラインに晒す」と脅迫していた。
そしてImpact Teamは8月18日、取引に応じなかった同社に「時間切れ」を伝え、会員情報の公開に踏み切った。この流出でダークネットに晒された会員のアカウント数は約3200万件(一説によれば3300万件)。9.7GB分ものデータには、会員の氏名、住所、メールアドレス、7年分のクレジットカードの取引記録、個人的な性的嗜好、また一部にはGPSのロケーション情報なども含まれていた。
Hackers Finally Post Stolen Ashley Madison Data(WIRED)報道する北米メディアと、求める読者
北米では、一般紙から経済紙まで様々なニュースサイトが、この大規模な流出事件をまるで待ち構えていたかのような素早さで一斉に報じた。それらの記事の多くには「ついにAshley Madisonの会員情報が流出!」と派手に見出しがつけられたが、一方で「まだ流出したデータが本物かどうかはわからない」と慎重な見解を示す媒体もあった。しかし、その後の調べにより「本物のデータである可能性が極めて高い」という見方が広まった。決定打となったのは、今回の事件を最初に報じたセキュリティ専門家Brian Krebs氏の「すべては、それが本物のデータであることを示している」との見解だろう。
The Ashley Madison Data Dump, ExplainedThe Impact Team Exposes 32 Million Ashley Madison Users(Bloomberg)Was the Ashley Madison Database Leaked?(Krebs on Security)
このとき多くのメディアは、ALM社の対応や犯人の正体よりも、「Ashley Madisonを利用していた会員は、どのような人々だったのか?」という話題に焦点を当て、ダークネットに公開されたデータの山から、被害者の実態を暴こうとした。それは読者のニーズに、極めて素直に応えた報道だったといえるだろう。
とりわけ、「Ashley Madisonのアカウントを取得していた政府や軍の関係者は1万5000人以上にのぼる」というデータは、流出事件の直後から派手に、半ば面白おかしく取り上げられて一気に拡散した。この数値は、「t0x0pg」のハンドルを持つ人物が、いち早くPastebinで公開したリストによるもので、それはアクセス記録から得られた情報ではなく、単に「.gov」「.mil」ドメインのメールアドレスで登録を行われているアカウントの数を数えたものだった。
Government workers cope with fallout from Ashley Madison hack(CNN)
この話題を伝えるCNNの報道
つまりプライベートのアドレスを使うことも、フリーメールを取得することもなく、「国から発行されているアドレス」を利用して不倫専門の出会い系サイトに会員登録した、信じがたいほど迂闊な政府や軍の関係者が1万5000人いたということになる。それよりもはるかに多くの人々が、同じサービスに登録していたはずだと考えるのが道理だろう。また「家族に知られないように」職場のアドレスを使ったのであれば、勤務時間中サービスを利用していた可能性も高そうだ。
政府や軍のメールアドレスで登録されていたアカウント数のグラフ。ご覧のとおり米陸軍のドメインが圧倒的で、米海軍、米海兵隊が後に続く。
一方、英国のITメディア『 The Register』 は「Ashley Madisonのアカウント登録に利用された IT 企業のアドレス」のグラフを公開した。ここではIBMが圧倒的なリードを示し、さらにHP、Cisco、Apple、Intelなどの一流企業が名を連ねた。米軍の登録者よりははるかに少ない数ではあるが、一般企業よりセキュリティに関する意識が高いと考えられる企業でも、職場のアドレスを利用して不倫サイトへの登録を行ったスタッフが数十人、数百人の単位で存在していたという話には、ただ驚くしかない。
このようにして、Ashley Madisonの会員たちに関するニュースは、「サイバー犯罪の犠牲者」というより、「天誅をくだされた間抜けな浮気者」のように伝えられた。
追い詰められた被害者たち
しかし、この事件で追い詰められた被害者にとって、それは笑い事で済まされる話ではない。Ashley Madisonは単なる出会い系サイトではなく「不倫」を前面に押し出したサービスであるため、その情報流出は一家離散に結びつくだけでなく、多額の慰謝料を請求する裁判を起こされた場合にも立場が悪くなる。
また北米では「最終的に何よりも大切なのは家族愛」という価値観が尊重される傾向がある(たとえ、それがうわべだけの話であろうと)。つまり、いったん「家族を裏切った人間」というレッテルを貼られた場合、どのような業種であれ職場に居辛くなる、あるいは何かしらの理由をつけて解雇されるといった悲劇も起こりえる。まして教職や聖職に就く人物や、企業を代表する立場の人物なら、その悲劇が起こる可能性は高い。
9 Questions Employers Need to Answer Before Firing an Ashley Madison Customer
Entrepreneur Mediaに掲載された記事「あなた会社の従業員がAshley Madisonの会員であると判明したとき、その人物を解雇する前に、経営者が確認するべき9つのこと」Headhunter: 3 Reasons You Will Lose Your Job If You're On the Ashley Madison List
observer.com に掲載された記事「Ashley Madisonのリストに掲載されていた場合、あなたが職を失う3つの理由」
これまでに築き上げてきた財産、家庭、業績、そして周囲からの信頼が一度に失われた被害者の絶望は計り知れない。
Ashley Madisonへの会員登録が暴かれたことを理由とした自殺が初めて報告されたのは8月18日、データ流出の事件が一斉に報道された当日だった。シカゴのイリノイ州にマイホームを持つ2児の父だったドナルド氏は、自らの命を絶つ前に、以下のような遺書を妻に残した。「私が不誠実であったことを申し訳ないと思う。きっと君は子供たちを連れて私の元から去るのだろう。そして私は君の父親の会社からも解雇される。(中略)君にとって簡単になるようにしておくよ。すべては君のものだ。さようなら」
Man Outed In Ashley Madison Hack Commits Suicide(United Media Publishing)
遺書が公開されたサイトの一例
インターネットの匿名スペースに罵詈雑言が並びやすいのは、どこの国でも同じだ。このニュースのコメント欄には、「いいね。浮気者は死に値する!」「こんな××野郎に涙を流す者はいない」「1人のゴミ人間が、ゴミ箱に行っただけ。残りの3800万人も後に続け」などといった容赦のないコメントが次々と寄せられた(3800万人というのは、今回の漏洩件数ではなく、同社のサービスの全アカウント数として伝わっている数)。もちろん、それらの罵倒を諫めるコメントも書き込まれたものの、ドナルド氏と似た状況下の人々は、氏の名前や家族構成、遺書までが即座にメディアで公開されたこと、その記事に寄せられたコメントが手厳しいことを知り、ますます絶望的な気持ちになっただろう。
しかし人々の好奇心は止まらない。もっと"楽しい"情報を求め、流出データのサルベージを行う人々が増える中、「あなたのメールアドレスが漏洩していないかどうかを調べるサービス」も次々と登場した。これらは本来の用途だけでなく、自分の配偶者が会員登録していないか確認したい人々、あるいは知人や従業員のメールアドレスを検索したい人々にも利用されたことだろう。各サービス自体の安全性を確認できていないので、それらへのリンクは掲載しない。
読者の皆様には、Impact Teamによってオンラインに放たれたデータは、決して探そうとしないことを強くお勧めする。その情報のダウンロードを申し出るサイトのほとんどは、犯罪者による偽物のサイトであり、それを閲覧した人物が様々なマルウェアに感染する可能性は「極めて」高い。あくまでもGoogle検索で閲覧できるサイトしか見るつもりはないし、ダークネットに入り込まなければ大丈夫だろう......と考えるのは非常に危険だ。むしろ詐欺師たちは、そのような「お気楽で好奇心の強い人々」を狙っている。
How to search the Ashley Madison leak
データが検索されていることを伝えるWashington Postカナダ・トロント警察の対応
ALM社のあるカナダでは、8月24日、トロント警察(Toronto Police Service)のBryce Evans氏が声明を発表した。「これはもう楽しいゲームではない。われわれは家族のことを話している。その子供たちの話をしている。彼らの人生に影響が及ぼされる問題だ」とコメントした彼は、被害者たちが送りつけられた恐喝のメールも読み上げた。「あなたの友人や家族、雇用主に、あなたの汚れた情報をすべて共有されたくなければ、1.05ビットコイン(およそ3万円)を月曜の午後までに送れ」
'This isn't fun and games anymore': Toronto Police issue stern warning to Ashley Madison hackers(National Post)
National Postの記事「もう、この事件は楽しいゲームではない」
続いて彼は「オンラインに流出した、あなたのAshley Madisonの情報を削除します」と申し出ることで、被害者から金を騙し取ろうとする詐欺団体が存在していること、また今回の情報流出を苦に命を絶ったカナダ市民が新たに2名いるようだということを発表した。ただし米国と異なり、彼らの詳細情報は公開されていない。
この声明の中では、トロント警察がオンタリオ州警察や王立カナダ騎馬警察、米国連邦捜査局、米国国土安全保障省と共に、流出した会員の個人情報に関して詳細な捜査を続けていることも語られ、また、それらの捜査を支援する「善玉ハッカー」の協力が求められた。