2015年08月26日 12時30分 ネットサービス

不倫SNSサイト「アシュレイ・マディソン」のCEOが競合サイトをハッキングしてメールを盗もうとしていたことが発覚



ハッキングによって3700万人の個人情報が流出した不倫SNSサイト「アシュレイ・マディソン」のCEOが、競合他社をハッキングして顧客情報を盗み出すよう指示していたことが発覚しました。まさに"因果応報"の事態となっています。



Ashley Madison's Founder Wanted to Hack a Competing Site to Steal Emails | Motherboard

http://motherboard.vice.com/en_ca/read/ashley-madisons-ceo-wanted-to-hack-a-competing-site-to-steal-emails/



ハッカーが公開したアシュレイ・マディソンの親会社Avid Life Media(ALM)のCEOであるノエル・ビルダーマン氏の内部メールのキャッシュによると、アシュレイ・マディソンの従業員が競合サイトに深刻な脆弱性があることを報告したのち、ビルダーマン氏が従業員に対してその競合サイトのユーザー情報を盗み出すよう奨励していたとのこと。



2012年にALMの最高技術責任者であるラジャ・バティア氏が、ビルダーマン氏に宛てて競合サイトであるNerveのセキュリティホールについて報告したところ、ビルダーマン氏はセキュリティホール関する詳細を要求しました。バティア氏は「ユーザーのメールアドレス・パスワード・課金/非課金情報・交流履歴・検索履歴・最終ログイン時間・プロフィール・ブロックしている/されている相手・アップロードした写真にアクセス可能な脆弱性」と説明し、さらに「やろうと思えば非課金ユーザーを課金ユーザーに切り替えたり、ユーザーからメッセージを送信させたりできる」と伝えたところ、ビルダーマン氏は「なんてことだ……。私はメール情報がほしい」と指示をほのめかす返信をしていました。





バティア氏は「私はできません。息子の目を見ることができなくなってしまう」と、当初はハッキングの実行を拒否する返信をしていましたが、Nerveからユーザー情報を盗み出す方法をビルダーマン氏に教えたことや、Nerveから盗み出したと見られる大量の個人情報を含むTXTファイルを送信していたことがわかっています。ビルダーマン氏がのちに自らハッキングを実行した事実も判明していますが、結果はエラーメッセージを受信したのみで、ほかの個人情報を盗み出すことには失敗していたようです。なお、この件に関してコメントを求められたビルダーマン氏は、「残念ながら間違っている」と否定しました。



他社の個人情報を不正に入手しようとしたビルダーマン氏が運営するアシュレイ・マディソンは、大量の個人情報がハッキングによって流出していますが、犯人の正体はいまだつかめていません。アシュレイ・マディソンに関するハッキングについて、マカフィーの創業者であるジョン・マカフィー氏は「価値ある情報を差し置いて従業員のストックオプションリストが盗まれている」「ハッカーにとって価値のないCEOのプライベートメールの全文流出」「たびたび女性だけが使うスラングが使われている」などの理由を挙げており、「ハッキングは内部の女性従業員によるもの」とコメントしています。



John McAfee: Ashley Madison database stolen by lone female who worked for Avid Life Media

http://www.ibtimes.co.uk/john-mcafee-ashley-madison-database-stolen-by-lone-female-who-worked-avid-life-media-1516833



アシュレイ・マディソンがハッキングされた一件は、世界最大の個人情報流出事件の1つとも言われるほど被害が拡大しているところで、トロント警察は今回のハッキングに関連するとみられる自殺が2件起こっていること、ハッキングに起因する憎悪犯罪事件が発生していることを発表しました。事件はデータ流出だけに収まらない規模へと進行中であり、アシュレイ・マディソンの親会社ALMは犯人の逮捕につながる情報提供者に対して50万ドル(約6000万円)の懸賞金をかけています。



Ashley Madison hack: 2 unconfirmed suicides linked to breach, Toronto police say - Toronto - CBC News

http://www.cbc.ca/news/canada/toronto/ashley-madison-hack-2-unconfirmed-suicides-linked-to-breach-toronto-police-say-1.3201432



実際にデータ流出に関する被害者は増加の一途をたどっており、アメリカ・ロサンゼルスやカナダではアシュレイ・マディソンに対する集団訴訟が起こっています。ALMに求められる損害賠償金は総額7億6000万ドル(約900億円)にのぼる見込みです。



Ashley Madison sued for emotional duress | TheHill

http://thehill.com/policy/cybersecurity/251881-ashley-madison-sued-for-emotional-duress

