Close

PICK UP

デジタルとアナログ双方の面から見る、犯罪、プライバシー問題、セキュリティを担当。

Jeramey Lende / shutterstock.com

「人生は一度だけ。不倫しましょう」という挑発的なコピーで世界中から利用者を獲得したのが、カナダ初の不倫専門出会いサイト「アシュレイ・マディソン」。しかし、同サイトは2015年に3200万人もの個人情報が流出する事件を起こし、存続が危ぶまれたこともあった。

しかし、そのアシュレイ・マディソンは今もまだ運営を続けている。そして、またもや重大なプライバシー流出危機に直面していたことが分かった。

セキュリティ企業「Kromtech」の社員らはブログでアシュレイ・マディソンの写真のシェア機能の重大な欠陥を指摘した。同サイトの写真のステータスには会員全体に公開する「パブリック」と、許可を与えた相手だけに公開する「プライベート」がある。

プライベートの写真は相手が与える「キー」がないと見られないはずだ。しかし、Kromtechの調査によると、仮にAという男性が見知らぬ女性Bと、自分のプライベートキーをシェアした場合、デフォルトの設定では自動的に女性Bのプライベート写真がAから閲覧可能になることを発見した。

これは非常に深刻な問題を引き起こす。会員同士がプライベート写真を盗み見するだけではなく、悪意を持つ第三者が偽のアカウントを大量に作り、会員たちの秘密の写真を奪い取ることも可能だからだ。

さらに恐ろしいのは、写真の保管場所URLがサービスにログインしなくとも、誰でもアクス可能になっていた点だ。URLは類推が困難な複雑な文字列になっていたが、一度そのURLを知ればログイン無しでアクセスできるのは大きな問題だ。

Kromtechの研究者らは次のように述べた。「ハッカーが写真を奪い取り、一般人のヌード画像をウェブでさらす事件が発生する可能性もある。また、奪い取った写真をネタに恐喝行為が行われる危険もある。匿名でサービスを利用していても、IDを手がかりにその人物の本名を割り出すことが可能だからだ」

Kromtechのチームがアシュレイ・マディソンに連絡をとった結果、現在ではキーのシェア回数には制限が加えられ、見知らぬ相手とキーをシェアしまくるような行為はできなくなっているという。また、怪しいアカウントをフラグ立てするような機能も導入されたという。ただし、Kromtechらが今回の報告を行うまでの期間は、会員らのプライベート写真が危険にさらされていたことは事実だ。

アシュレイ・マディソンの運営元のRuby Lifeのセキュリティ担当者、Matthew MaglieriはEメールでの回答で、Kromtechらの報告を受けて然るべき対策を講じたと述べた。

「今回の問題には既に対処済みであり、これまでいかなる会員の画像も騙し取られたり、外部に流出したりしていないことを確認した」とMaglieriは記している。

編集=上田裕資

記事が気に入ったら
いいね!しよう

LIKE @Forbesjapan

Forbesjapanを
フォローしよう

FOLLOW @Forbesjapan

あなたにおすすめ

合わせて読みたい