極右に人気のSNS「Gab」がサイバー攻撃を受けてトランプ氏のアカウントを含む70GBのデータが流出

「言論の自由と個人の自由権を支持する」とするSNS・Gabは、主流のSNSから追放されたネオナチや白人至上主義者、オルタナ右翼といった極端な政治思想の人々から人気を集めています。2021年2月に、匿名のハッカーがGabにサイバー攻撃を仕掛けてドナルド・トランプ氏のアカウント情報を含む70GBものデータを盗み出し、リークサイトのDistributed Denial of Secrets(DDoSecrets)でジャーナリスト向けに配布されていると報じられました。

Release: GabLeaks (70GB) - Distributed Email of Secrets
https://ddosecrets.substack.com/p/release-gableaks-70gb

Far-Right Platform Gab Has Been Hacked—Including Private Data | WIRED
https://www.wired.com/story/gab-hack-data-breach-ddosecrets/

Donald Trump is one of 15,000 Gab users whose account just got hacked | Ars Technica
https://arstechnica.com/information-technology/2021/03/gab-the-far-right-website-has-been-hacked-and-70gb-of-data-leaked/

2021年1月、アメリカの連邦議会議事堂をトランプ氏の支持者らが数時間にわたり占拠し、デモの参加者や警察官を含む5人が死亡する事態となりました。この事件で注目を浴びたのが、言論の自由を掲げてコンテンツモデレーションを行わないGabやParlerといったSNSです。

FacebookやTwitterをはじめとする多くのSNSが、過激な発言や2020年アメリカ大統領選挙に関する誤情報を取り締まる中、GabやParlerは極右の人々が自由に発言できる場として人気を集めました。ところが、連邦議会議事堂襲撃事件に関するコンテンツを取り締まらなかったことでParlerは強く非難され、事件の数日後にはParlerがApp StoreやGoogle Playから削除され、AWSのウェブホスティングサービスからも排除されてしまいました。最終的にParlerが復活したのは、AWSのサーバー停止から1カ月以上が経過した現地時間の2月15日のことでした。

SNS「Parler」が1カ月ぶりに復活、脱AWSにより - GIGAZINE

Parlerが苦境に追い込まれる一方で、Gabはそれほど世間からの注目を集めませんでした。しかし、リークサイトのDDoSecretsは2月28日に、「1万5000人のGabユーザーによる1万9000件以上のチャット、7万件以上の公開・非公開メッセージ、ユーザープロファイル、ハッシュ化されたアカウントのパスワード、Gab内に作られたグループのパスワード」を含む70GBものデータを、ジャーナリストや研究者に配布すると発表しました。

「GabLeaks」と呼ばれるこのデータは、匿名のハッカーがGabのバックエンドデータベースから吸い出したもの。ハッカーはアプリが想定していないSQL文を実行するSQLインジェクションによって、これらのデータを収集したそうです。収集されたデータにはトランプ氏や陰謀論者のマージョリー・テイラー・グリーン氏、トランプ氏の著名な支持者であるマイケル・J・リンデル氏、極右の陰謀論者であるアレックス・ジョーンズ氏などのアカウントデータが含まれるとのこと。

DDoSecretsの共同創設者であるエマ・ベスト氏はWIREDのインタビューに対し、「ユーザーデータやプライベート投稿など、Gabに関するほとんど全てのものが含まれています。Gabのユーザーとコンテンツに関して、ほぼ完全な分析を実行するために必要なものが全て含まれています」「民兵やネオナチ、極右、QAnon、そして1月6日(の連邦議会議事堂襲撃事件)を取り巻く全てのものを観察する研究者にとって、GabLeaksはもう1つの金の鉱脈です」とコメントしました。

今回Gabから盗み出されたデータには膨大な個人情報が含まれているため、DDoSecretsはデータの配布を限定的にすることを決定。公益のための研究を行った確かな実績を持つグループまたは個人にのみ、問い合わせを受けた場合に配布すると述べています。

なお、Gabの創設者であるアンドリュー・トーバ氏は、Gabはユーザーの電話番号や社会保障番号、生年月日、健康および財務情報といった個人情報を収集していないとコメント。また、GabはSQLに関する脆弱性(ぜいじゃくせい)を認識して修正パッチを適用したとのことです。