2015年08月20日 13時10分ネットサービス

「人生一度。不倫をしましょう」の不倫サイトから自分のデータが漏れたか確認する方法＆結局何が漏れたのかまとめ

by Roberto Trombetta

世界最大級の不倫・浮気SNS「Ashley Madison(アシュレイ・マディソン)」がハッキングされ、約3700万人分もの個人情報が流出、クレジットカード情報や個人の性的嗜好などの情報がインターネットで公開されるという事態にまで発展しています。セキュリティ研究者のブライアン・クレブス氏によると流出したデータは本物とのことで、既にオンライン掲示板の4chanでは個人の特定が行われています。ということで、自分の個人情報は流出していないか？ということを確かめられるチェッカーが登場しました。

個人情報が漏れていないか心配な人は、以下のウェブサイトにメールアドレスを入力するだけで漏洩の可能性アリかどうかが診断できます。

Ashley Madison email checker
https://ashley.cynic.al/

使い方は簡単で、テキスト欄にメールアドレスを入力して「Search」をクリックするだけ。

もし流出した個人情報の中に自分のメールアドレスが存在しなかったら「○○ was not found.」と表示されます。もちろん、チェッカーに全ての情報が登録されているとは言いがたいのですが、実際にCNNが独自調査を行ったところ、流出したメールアドレスを検索欄に入れたら「流出しています」という旨が表示されたとのこと。

今回流出したと見られている個人情報には以下のものが含まれます。

・アカウントの作成日、最終アップデート日
・アカウントのタイプおよび0～4段階で分けられたメンバーシップのレベル
・氏名およびニックネーム
・郵便番号、州、都市などを含んだ詳細な住所
・仕事用の電話を含んだ電話番号
・性別
・誕生日
・身長と体重
・民族性、体形、喫煙や飲酒の有無、パートナーに重視すること、未既婚といった個人の属性。文章ではなく、数字を選択する形のデータで登録されていますが、「民族性の『1』は白人、『3』はアジア系」など、識別は可能
・ユーザーが何に寛大であり、何を探していて、何に対して興奮するのか。これはオプションとして数字の選択および自由記述で行われた模様
・「通った高校は？」などセキュリティに関する質問

情報流出について、アシュレイ・マディソンを運営するAvid Life Mediaは以下のように声明を発表しています。

Statement from Avid Life Media Inc. – August 18, 2015 | Ashley Madison Media
http://media.ashleymadison.com/statement-from-avid-life-media-inc-august-18-2015/

Avid Life Mediaは今回の事件を「ハクティビズムに基づいた行為ではなく、オンライン上で適法な行為を行う自由思想を持った人々に対する犯罪行為だ」とした上で、セキュリティの専門家やカナダ・アメリカの警察当局などと協力して調査を続行中であることを明かしています。まだ犯人の特定までは至っていないようですが、「当局が犯人を逮捕し起訴することを確信している」とのことです。

アシュレイ・マディソンに登録した情報を完全削除するためには19ドル(約2400円)を別途支払う必要があったのですが、今回流出したデータの中には完全削除されたはずの情報も含まれており、非難の声が上がっていました。しかし、現地時間の8月18日付で発表された声明の中では、この件についての言及はなし。なお、BuzzFeed Newsによると、2014年には9万人のユーザーが個人情報の完全削除を行っており、アシュレイ・マディソンはこれによって170万ドル(約2億1000万円)の収益を上げていたと見られています。

なお、ニュースメディアのThe Vergeは「アシュレイ・マディソンの情報流出で知っておくべき事リスト」という項目を出しており、どんどん記事が追加されていっています。リストの中には、アシュレイ・マディソンがインターネットニュースサイトのライターが行ったツイートに対してデジタルミレニアム著作権法に基づいた削除依頼も出していた、というものも含まれ、この辺りはSPEがTwitterに対してハックされたメールを含むツイートの削除依頼を行ったことに通じる迷走っぷりが見受けられます。

問題となったツイートはアシュレイ・マディソンの株主についてのスプレッドシートの一部なのですが、具体的なデータが一切ないにも関わらず、なぜか削除を求められたとのこと。同じく削除依頼が出された別のツイートにはアシュレイ・マディソンの銀行口座が載っていたため削除されましたが、以下の具体情報が一切ないツイートに関してはTwitterも放置しているそうです。

Company bank account details included in dump #ashleymadison #ashleymadisonhack pic.twitter.com/aUaiYQjkaN
— Joseph Cox (@josephfcox)

トップページで「100％秘密保護主義」と掲げているアシュレイ・マディソンですが、プライバシー・ポリシーを見てみると「アシュレイ・マディソンが破産したらユーザーのデータを売却することができる」「我々はユーザーの個人情報を保護し続けるための努力をするが、インターネットやメールを通じて提供されたユーザーの情報が安全であるとは保証できない」といった内容が書かれています。

CNNの調査によると、アシュレイ・マディソンの登録に会社や組織のメールアドレスを利用している人も多い様子。例えば、現時点でカナダ・アメリカ政府関連のメールアドレスが6904、米軍に関連したメールアドレスが7239発見されており、米軍内では3531のメールアドレスが海軍、1114が海兵隊、628が空軍だったとのこと。ニセのメールアドレスである可能性ももちろんあるのですが、もしも政府職員のメールアドレスであった場合は統一軍事裁判法の違反となり、不名誉除隊もしくは1年間の謹慎となることも考えられます。

メールアドレスは支払いを行うためにクレジットカードと結びつけられていることもあり、個人の特定を行うことは知識のある人にとっては容易なこと。会社や組織での名誉が傷つくだけならまだしも、同性愛が禁止されている国で同性のパートナーを探していた人などは、最悪死刑の可能性まであるわけで、今回の情報流出の犯人が捕まるか否かにかかわらず、インターネット上の個人情報の取り扱いについて、今一度見直す必要に迫られていると言えます。

なお、アシュレイ・マディソンのウェブサイトは情報流出が起こってからも閉鎖されることなく、運営を続行中です。