12億件以上という過去最大の漏洩事件
今回の発表の最大の争点は、「そもそも12億以上の個人情報が漏れたというのは真実なのか」という点にある。
典型的な例であれば、愉快犯や腕試しが目的の犯人が盗んだ情報の一部をインターネット上に放流して信憑性を高めたり、具体的な侵入手順を示したりと、「盗んだという事実」を相手に示すことで意味を成すケースだ。
一方Hold Securityのケースでは、被害者の個人情報ならびにロシアのハッカー集団の素性を隠すために、こうした具体的なデータが提示されておらず、あくまで「45億という積み上げた数字と、そのうちの確認できる個人情報として12億以上というデータ」を示しているに過ぎない。そのため、「Hold Securityという企業は信用できるのか」という部分にかかっている。
だが筆者を含め、おそらくHold Securityという企業の名前を聞いたことがある人はほとんどいないだろう。報道によれば、同社は昨年2013年に設立されたばかりであり、今回のように大手メディアに取り上げられたことも初のケースだという。
設立年度が浅いこともあり、各種ハッカー向けのカンファレンスへの登場や、セキュリティアドバイザリでの活動も確認できない。つまり、情報を精査するためには「Hold Securityとは何者か?」という部分をまず調べる必要がある。
例えば、Holden氏はWall Street Journalのメールインタビューに対して「我々は企業向けサービスに料金を請求しているため、まずは(我々)自身が“いい人”であることを示さなければならない。信じるも信じないも、それが難しく、割に合わない作業だ」とコメントしている。
つまり、漏洩データの存在を盾に企業にプレッシャーをかけ、その対価として報酬をもらっているのではないかと疑われる部分に神経質になっているというわけだ。WSJでは、実際のケースとして、こうしたセキュリティ企業がハッカー集団に裏ルートで接触して情報収集を行なうことがあると紹介している。
また、他のセキュリティ専門家の話として、蓄積を続けたデータだとしても12億以上のID/パスワードというのは非常に驚異的な水準であり、さらに過去のハッキングケースで多くのユーザーが同じID/パスワードを使い回していることが判明したことを考慮に入れても、かなり危険性が高い状態にあると考えているようだ。
今回のケースでいえば、大小含めて42万のウェブサイトが対象となっており、その業種や業界におけるポジションもさまざまで、さらには地域も世界中が対象としている。そのため、事実上どのサイトが問題なのか特定することは不可能だといえる。
一方で、これだけ重要な情報を入手しているにもかかわらず、当該のハッカー集団の行動は穏やかだ。入手したデータを使ってSNS上でスパムを送り続けているくらいだという。そのため、気付いたユーザーがパスワードを変更したり、アカウントを閉鎖すればいいだけの内容になっている。
