2015年09月14日 23時00分メモ

「123456」がダントツ人気パスワード、CEO辞任も依然としてユーザー増加中など不倫SNS「アシュレイ・マディソン」情報流出騒動をめぐるあれこれ総まとめ

メールアドレス、クレジットカード番号、性的嗜好などの登録情報が漏洩した不倫マッチングサイト「Ashley Madison(アシュレイ・マディソン)」のデータ流出事件は、事件発生後約1カ月になろうとしている今も、さまざまな波紋を広げ続けています。

Top 100 list shows Ashley Madison passwords are just as weak as all the rest | Ars Technica
http://arstechnica.com/security/2015/09/new-stats-show-ashley-madison-passwords-are-just-as-weak-as-all-the-rest/

◆人気パスワード
パスワード漏洩問題が発覚するたびに、とてつもなくシンプルなパスワードが使われまくっているという事実が明らかになるものですが、アシュレイ・マディソン事件でも歴史は繰り返されたようです。研究者がアシュレイ・マディソン事件でクラックされた1100万件以上のアカウントを調査して、使用頻度の多い順にパスワードを並べると人気パスワードトップ100はこんな感じになりました。

約1％のユーザーからの圧倒的な支持を受けた不動のNo.1は「123456」。「Adobeから流出したパスワードでよく使われていたものトップ100」でもトップになるなど、「使ってはいけないパスワード1位」として知られる「123456」の安定感を見せ付ける結果になっています。

2位以下は、「12345」「pasword」「DEFAULT」「123456789」「qwerty」「12345678」「abc123」などが続きます。

なお、不倫SNSらしい卑猥な用語も人気が高いようです。

特定の意味を持たないランダムな文字列や数字を組み合わせた比較的強固なパスワードを設定していたのは、1170万件中460万件にとどまったとのことで、半数以上のユーザーがクラックされやすいパスワードを設定していたことが明らかになっています。

◆どうやってクラックしたのか？
ところで今回ハッキングによって流出したアシュレイ・マディソンのユーザーパスワードは「bcrypt」というアルゴリズムで強固にハッシュ化されていたため、当初は解読が困難であると思われていました。しかし、パスワードのbcryptハッシュを効率的にクラックした方法が明らかにされています。

CynoSure Prime: How we cracked millions of Ashley Madison bcrypt hashes efficiently
http://cynosureprime.blogspot.jp/2015/09/how-we-cracked-millions-of-ashley.html

CynoSure Primeというパスワードクラック集団は、アシュレイ・マディソンのパスワード機構に「$」で始まる変数「$loginkey」が使われているのに目をつけました。この$loginkeyはユーザーがパスワードや登録メールアドレスなどを変更するときに自動ログインできるように使用されるトークン(ワンタイムパスワード)を生成するための機能と推測されています。CynoSure Primeは$loginkeyが「MD5」という比較的クラックしやすいハッシュ関数でハッシュ化されていることを見つけ、パスワード本体の強固なbcryptハッシュをクラックする代わりにこの$loginkeyをクラックすることで、効率的にパスワードを解読したとのこと。

◆詐欺行為が横行
アシュレイ・マディソン事件で流出した情報は、ユーザーネーム、パスワードだけでなくクレジットカード情報が含まれています。そして何よりもサービスの性格上、ユーザー登録や支払い実績という事実の存在そのものが、非常にセンシティブな情報というわけで、情報が流出したユーザーが浮き足立ったのは言うまでもありません。

しかし、このような状況に対していち早く動き出したのは、カナダに拠点を構えるアシュレイ・マディソンの運営会社Avid Life Mediaでもなければ登録ユーザーでもなく詐欺師たちでした。

セキュリティ会社シマンテックの調査によると、アシュレイ・マディソンからユーザー情報が漏洩したことが明らかになった2015年8月18日直後から、このデータ流出に関係するスパム活動が急増。

2015年8月19日にシマンテックが遮断した数千件のスパムメールの多くは、宛先フィールドと送信元フィールドにアシュレイ・マディソンに関係するドメインが並んでいたとのこと。

遮断されたメールの件名は、「How to check if your email is part of Ashley Madison's hack(アシュレイ・マディソンのハッキングに自分のメールが含まれているかどうかを確認する方法)」、「How to Check if You Were Exposed in Ashley Madison Hack(アシュレイ・マディソンのハッキングで情報が漏えいしたかどうかを確認する方法)」、「Ashley Madison hacked, is your spouse cheating(アシュレイ・マディソンのハッキング: あなたの配偶者は大丈夫か)」などが並んだそうです。

「メールアドレスを入力するだけで情報流出に遭ったかどうか判定可能」といううたい文句のメールアドレス収集サイトも激増。もちろん多くのサイトはメール収集目的の詐欺サイトだとみられています。入力したメールアドレスの持ち主は高い確率でアシュレイ・マディソンの利用者であることから、詐欺師たちにとっては不安な気持ちと後ろめたい気持ちを告白してくれる「格好の獲物」というわけです。

実際に情報漏えいした人に対して「配偶者に情報を開示しない見返りにビットコインで送金しろ」という脅迫メールが送りつけられたことが報告されています。

◆アシュレイ・マディソンの実態
「人生一度。不倫をしましょう。」というインパクトのあるキャッチコピーで世界最大級の恋人探しサイトに成長したと喧伝するアシュレイ・マディソンには、世界中に数多くの女性ユーザーがいるとされていました。

しかし、米Gizmodoによると、ハッキング被害で流出した情報では男性が約3100万人で女性が約550万人だったのですが、女性ユーザーのほとんどはボットによって自動生成されたメールアカウントを利用していたり、ローカル・ループバック・アドレスを持つIPアドレスを利用していたりと、Avid Life Mediaによる作成が強く疑われる架空のアカウント(いわゆるサクラ)であったとのこと。また、メッセージをチェックしていたのは男性が2000万人オーバーなのに対して女性はわずかに1492人という、あまりにもさびしい数字であったと報じられています。

なお、女性はほとんどサクラだったという指摘に対して、Avid Life Mediaは、「漏洩データのフィールド情報の意味を誤って解釈したために起こった誤解であり、算出方法と数値が間違っている。2015年前半で女性とのコミュニケーションに課金した男性ユーザーと、アクティブに活動する(無料の)女性ユーザーの比率は1.2対1である。」と反論しています。

◆衰えない人気
2015年8月24日、カナダのトロント市警察当局は、アシュレイ・マディソン情報流出事件に関連して、少なくとも2件の自殺を原因とする死亡例があると発表しました。トロント市警のブライス・エバンス警視正は、アシュレイ・マディソンユーザーに対する恐喝やデータ削除をうたう詐欺など二次的な犯罪が生まれているとした上で、「もはや情報の消去は誰にもできないだろう」と述べています。

ユーザー情報漏えい、女性のサクラ問題、ユーザーの自殺などで紛糾する中、2015年8月28日、Avid Life Mediaはノエル・ビダーマンCEOが辞任したと発表。「ビダーマン氏の辞任は会社にとって最も大きな利益だ」と述べ、CEOの降板によりユーザーや従業員へのサポートを継続できるとしています。