世界最大級の既婚者向け不倫SNSから流出した大量の個人情報がネットで公開か

2015年7月21日、既婚者向け出会い系サービスの「Ashley Madison(アシュレイ・マディソン)」を欧米やアジアで展開するAvid Life Mediaがハッキングされ、クレジットカード情報や氏名・住所のほか、個人の性的嗜好までもを含んだ約3700万人の個人情報が流出するという事件が起こりました。事件発生から約1カ月が経過した8月18日、Ashley Madisonから流出したと思われるデータが、ついにインターネットで公開されるという事態にまで発展しています。

Data from hack of Ashley Madison cheater site purportedly dumped online [Updated] | Ars Technica
http://arstechnica.com/security/2015/08/data-from-hack-of-ashley-madison-cheater-site-purportedly-dumped-online/

Hackers Finally Post Stolen Ashley Madison Data | WIRED
http://www.wired.com/2015/08/happened-hackers-posted-stolen-ashley-madison-data/

アシュレイ・マディソンから流出したと思われるデータは、匿名通信システムのTorでのみアクセス可能なダークウェブ上で公開されているとのこと。公開されたデータには「aminno_member_dump.gz」「aminno_member_email.dump.gz,」「CreditCardTransactions7z」「member_details.dump.gz」という名前のファイルがあり、アシュレイ・マディソンのユーザーの個人情報が含まれているとのことです。

ファイルは氏名・住所・電話番号・クレジットカードおよびそのほかの支払い取引に関するデータなどを含んでおり、その数はアシュレイ・マディソンのユーザー約3200万人分にのぼります。公開されたデータにはパスワードが含まれていたものの、パスワードはbcryptアルゴリズムでハッシュ化されていて、一般的な知識で復号化するのは困難ですが、ハッカーにとって難しいことではなく、アシュレイ・マディソンでアカウントを所持している現行ユーザーは不正ログインされる可能性があります。

また、公開された個人情報にはユーザーの性的嗜好までもが含まれていて、「家庭で幸せでない人、もしくは非日常な体験をしたい人を探しています」「前戯がとてつもなく好きです」「襲ったり襲われたり、両方が好きです」などなど、見るのも恥ずかしくなるようなものまであるそうです。

ただし、アシュレイ・マディソンは不倫SNSというサービスの性質上、ユーザーが偽名や偽のメールを登録していることが多く、公開されたメールには「.gov」「.mil」など明らかに個人で所有できるアカウントではないものも含まれており、そもそも公開されたデータが流出したものと同一であるかどうかは明らかにされていません。

アシュレイ・マディソンは、公開されたユーザーの個人情報の真偽について「弊社のサービスをハッキングした犯人と名乗る人物が盗んだデータを公開したと主張しているのは把握しており、公開されたデータの真偽を全力で調査中です」としています。