インディアナ州の男性が昨日、人気ソーシャルネットワーキングアプリ開発会社に集団訴訟という形で、とてつもない「おまけ」を送りつけた。アラン・クラリッジ氏は、「Pieces of Flair」や「SuperWall」といったスパムまみれのFacebookおよびMySpaceアプリを開発するRockYouを提訴した。RockYouは、ハッカーによって3,000万人以上の個人識別データが盗まれたことを認めた。
2009 年最大のデータ災害の一つとなったこの事件は、RockYou によってほぼ 2 週間にわたって認知されなかった。
どのようにして失われたのか?
コンピューターのユーザー名とパスワードを付箋に書いてモニターに貼っておけば問題なかった時代を覚えていますか? ああ、そうだった。あれは絶対にダメだった。でも、RockYouは機密データをすべてまさにそれのように扱っていた。暗号化したり、適切な防御策を講じたりする代わりに、RockYouは保管している個人データをすべてプレーンテキストファイルで保存していた。そう、.txtファイルだ。
「RockYouは、データを完全に暗号化せず、基本的なハッキングスキルを持つ人なら誰でも少なくとも3,200万人の顧客のPII(個人識別情報)を入手できる状態にしておくことで、ユーザーのPIIを保護するための最も基本的な手順さえも無謀かつ故意に怠った」と訴状は述べている。
つまり、「igigi」として知られるハッカーにとって、RockYouのSQLインジェクション脆弱性(基本的には「コーディングの不備」)を悪用するのは驚くほど容易だったのです。今年初め、Heartland Payment Systemsが何百万ものクレジットカード番号を盗み出した事件で、この用語を覚えている方もいるかもしれません。Wiredが入手した訴状のコピーによると、「igigi」は「RockYouの登録ユーザー約3,200万人のメールアドレスとパスワード」を盗み出したとのことです。
RockYouは何をしたんですか?
訴状によると、それほど大きな被害はなかったという。クラリッジ氏は12月16日にRockYouから、自身の情報が漏洩した可能性があるというメールを受け取った。一方、RockYouはその12日前に自社の脆弱性を発見し、サイトを閉鎖していた。
次は何?
まず、RockYouはウェブサイト上で今回の攻撃に関する謝罪と説明を掲載しました。「RockYouは、ユーザーのプライバシーとデータセキュリティを常に最優先事項としており、その安全確保に努めています。ユーザーは当社のサービスに信頼を寄せており、今後もその信頼に応えられるよう努めてまいります」と同社は述べています。
さらに、RockYouは「このようなことが二度と起こらないようにするための新たな対策」を調査、検討し、実施する予定です。RockYouは以下の対策を挙げています。
- すべてのパスワードは暗号化されています。
- 当社では、パートナー アプリケーション プラットフォームで採用しているのと同じインフラストラクチャと業界標準のセキュリティ プロトコルを使用して、レガシー プラットフォームをアップグレードしています。
- 当社は、現在のデータセキュリティ機能を見直し、業界標準とベストプラクティスに準拠していることを確認しています。
- 当社は連邦当局と協力して、データベースへの違法侵入を調査中です。
サンフランシスコの米国地方裁判所に提起されたこの訴訟には、過失、契約違反、カリフォルニア州コンピュータ犯罪法違反、カリフォルニア州セキュリティ侵害情報法違反など、9つの訴因が含まれている。訴訟では、RockYouに対し顧客データの保護を求めるとともに、「不特定の損害賠償」を求めている。
このような重圧が重くのしかかっている以上、RockYouは早急に行動を改めるべきだ。しかし、問題の根本は重くのしかかっている。事態が予期せず悪化する可能性がある中で、私たちはどのようにして無害なソーシャルネットワーキングアプリを楽しむことができるのだろうか? RockYouが顧客を保護せず、ハッキング被害を誰にも知らせるまでに12日間も待ったことは、このインターネット時代にあってはならない過失を露呈している。
