インターネット界で最も頼りになる流出データの管理人「Have I Been Pwned」が生まれたわけ

次の記事

DMM.make AKIBAが東大IPC起業支援プログラムを通じスタートアップを支援

「自分の個人データは漏えいしたことがあるのだろうか」―この素朴な疑問に答えるため、Troy Hunt(トロイ・ハント)氏は2013年の暮れにデータ漏えい確認サイトHave I Been Pwned(ハブ・アイ・ビーン・ポウンド、HIBP)を立ち上げた。

それから7年後の現在、HIBPは、史上最大規模のデータ漏えいを含め、これまでに発生した幾百件ものデータ漏えいの中で自分の個人情報がハッキング(英語のスラングでは語頭の「p」をはっきり発音して「pwned(ポウンド)」とも言う)されたかどうかを確認したいユーザーのリクエストを毎日何千件も処理するデータ漏えい確認通知サービスとなっている。現在までに100億件弱という記録的な流出データをデータベースに蓄積してきたHIBPだが、サービスの拡大とともに、立ち上げ当時にハント氏が抱いていた疑問に対する答えが明らかになっている。

「経験から言うと、個人データが漏えいしている確率は非常に高い。ある程度の期間インターネットを使っている人のデータならほぼ間違いなく漏えいしたことがあると思う」と、ハント氏はオーストラリアのゴールドコーストにある自宅からインタビューに応じて語ってくれた。

HIBPはもともと、Microsoft(マイクロソフト)のクラウドの基本的な動作を確認するためにハント氏が1人で始めたプロジェクトだった。しかし、好奇心の高い人が多く、シンプルで使いやすいこともあって、HIBPの利用者はたちまち爆発的に増加した。

サービスの拡大にともない、HIBPはより予防的なセキュリティ対策を提供するようになった。ブラウザやパスワードマネージャーとHIBPをバックチャネルで連携させ、ユーザーが、すでに流出履歴がありHIBPのデータベースに記録されているパスワードを使おうとすると警告が表示されるようにしたのである。これはサイトの運営コストを抑えるのに不可欠な収益源にもなった。

しかし、HIBPの成功はほぼすべてハント氏1人の功績と考えるべきだろう。ハント氏は創業者かつ唯一の従業員としてワンマンバンドのようにこの型破りなスタートアップを経営し、規模もリソースも限られているにもかかわらず収益を上げている。

HIBPの運営に必要とされる労力が急増すると、ハント氏は、1人で運営するには負担が大きすぎて実際に弊害が生じ始めていると感じるようになり、その解決策としてHIBPサイトを売却することを発表した。しかし、それから激動の1年が過ぎた後、同氏は売却を取りやめた。

流出データベースのレコード件数100億件という次の大記録達成を目前に控えた今でも、HIBPの勢いは衰える気配がない。

「すべてのデータ漏えいの母」

HIBPを立ち上げるずっと前からハント氏はデータ漏えいに精通していた。

ハント氏は(その当時は)小規模なデータ漏えいにより流出したデータを収集して詳細に分析し、発見したことを自身のブログにつづる人物として、2011年頃には有名になっていた。ハント氏の詳細かつ系統だった分析は再三再四、インターネットユーザーが複数のサイトで同じパスワードを使っていることを証明した。つまり、1つのサイトからデータが漏えいしたら、別のオンラインアカウントのパスワードもハッカーの手に落ちてしまう状況だった。

そんな時に起きたのが、ハント氏が「すべてのデータ漏えいの母」と呼ぶAdobe(アドビ)の個人情報流出だ。1億5000万以上のユーザーアカウント情報が盗まれてネット上で公開された。

ハント氏はこの時に流出したデータのコピーを入手し、すでに収集していた他のいくつかのデータ漏えいのデータと合わせてデータベースを作成し、メールアドレスを使って検索できるようにした。検索にメールアドレスを使うようにしたのは、漏えいデータのほぼすべてに共通していた項目がメールアドレスだったからだ。

こうしてHIBPが生まれた。

HIBPのデータベースが拡大するのに長くはかからなかった。Sony(ソニー)、Snapchat(スナップチャット)、Yahoo(ヤフー)から立て続けにデータが漏えいし、HIBPのデータベースに何百万件ものデータが新たに加えられた。程なくしてHIBPは自分のデータが流出したことがあるかを確認したい人が真っ先に利用する人気サイトになった。朝の情報番組でHIBPサイトのアドレスが放送されてユーザー数が爆発的に増加し、一時的にサイトがオフラインになることもあった。その後もハント氏は、Myspace(マイスペース)、Zynga(ジンガ)、Adult Friend Finder(アダルトフレンドファインダー)など、インターネット史上最大規模のデータ漏えいにより流出したデータや、いくつかの巨大なスパムリストをHIBPのデータベースに加えていった。

HIBPの規模が拡大し、知名度が上がっても、ハント氏は引き続きソロ経営者として会社の切り盛りから、データベースへのデータ投入、サイト運営方法の決定に至るまで、倫理的な側面も含めてすべて1人でこなした。

ハント氏は流出した個人データを扱う方法を決める際に「自分が理にかなっている思う方法で扱う」ことにしている。HIBPに匹敵するサービスが他になかったため、これほど大量の流出データ(しかもそのほとんどが非常にセンシティブなデータ)の取り扱いや処理方法についてハント氏が自分でルールを策定しなければならなかった。ハント氏は自分が何でもわかっているとは考えていないため、自分が下した決定の背後にある理由についてブログで長文を書き、包み隠すことなく詳細に説明している。

「ユーザーが検索できるのは自分のメールアドレスのみとする」というハント氏の決定は理にかなっていて、「自分のデータが流出したかどうかを確認する」という、当時のHIBPサイト唯一の目的に基づくものだった。しかしそれは同時に、ユーザーのプライバシー保護に配慮して下された決定であり、これが、後にもっとセンシティブで漏えいによるダメージが深刻な流出データを入手することになってもHIBPのサービスを継続できるようハント氏を助けることになった。

2015年、ハント氏は不倫あっせんサイトAshley Madison(アシュレイ・マディソン)から漏えいした数百万件にのぼるアカウント情報を入手した。この一件は、最初はデータ流出そのものに注目して広く報道されたが、その後、このデータ流出が原因で数人のユーザーが自殺したことで再びメディアに取り上げられた。

アシュレイ・マディソンへのハッキングは、HIBP史上、最もセンシティブなデータだった。この件がきっかけで、ハント氏は、ユーザーの性的嗜好その他の個人データが関わるデータ流出に対するアプローチ方法を変えることになった。(AP Photo/Lee Jin-man、File)

ハント氏はこの件がもたらす感情的ダメージの深刻さを強く意識し、いつものアプローチ方法から少し外れることにした。このデータ漏えいが他と異なることは明白だった。ある人はハント氏に、「自分の地元の教会がアシュレイ・マディソンから流出したデータに含まれていた地元住民の名前をリストにして掲示した」と話したという。

この件についてハント氏は、「これは明らかに人を道徳的に裁いていることになる。HIBPがその一端を担うことは避けたい」と語った。

このデータ漏えいについてハント氏は、それ以前のセンシティブ性が比較的低いデータ漏えいとは異なり、誰でも自由にデータを検索できるようにはしないことに決めた。その代わり、専用の新機能を導入し、メールアドレスが本人のものであることが確認できたユーザーのみ、センシティブ性の高いデータ漏えいの被害にあっているかどうかを確認できるようにした。

「アシュレイ・マディソンのデータ漏えいに巻き込まれた人にとって、HIBPの使用目的は誰にも想像が及ばないほどの特別な意味合いを持つようになった」とハント氏は語る。あるユーザーは離婚による傷心の勢いでアシュレイ・マディソンのサイトに登録し、その後再婚したが、データ漏えいによって浮気性のレッテルを貼られてしまったとハント氏に話したという。また、別のユーザーは夫の浮気を疑い、現場を押さえようと同サイトのアカウントを作成したとハント氏に話したそうだ。

「誰でも検索できるということは時に不条理なリスクを人に負わせることがある。だからここは自分が判断して行動すべきところだと感じた」とハント氏は説明する。

アシュレイ・マディソンのデータ漏えいにより、ハント氏は保持するデータはできるだけ少ない方がよいという自分の考えが正しいことを再認識した。ハント氏のもとには、データ流出の被害にあった人から「流出した自分のデータを教えてほしい」というリクエストメールが頻繁に送られてくるが、同氏はそのようなリクエストへの対応はどれも断っているという。

「入手したすべての個人データをHIBPに投入して、電話番号や性別、流出した他のあらゆる情報を人々が検索できるようにすることは私の本来の目的ではない」とハント氏は語る。

「もしHIBPがハッキングされても、流出するのはメールアドレスだけだ。そんな事態は起きてほしくないが、もしそうなった場合に、パスワードまで一緒に保管されていて流出してしまったら、事態ははるかに深刻になってしまう」とハント氏は説明する。

とはいえ、メールアドレスとともにデータベースに投入されないからといって、流出したパスワードが無駄になっているわけではない。ハント氏はHIBPのサイトで、メールアドレスにひもづけされていない5億あまりのパスワードを検索できるようにしている。ここで検索すれば、ユーザーは自分のパスワードがHIBPのデータベースに投入されたことがあるかどうかを確認できる。

誰でも―テック企業でさえも―ハント氏が「Pwned Passwords(ポウンド・パスワード)」と名付けたページからパスワードの山にアクセスできる。Mozilla(モジラ)や1Password(ワンパスワード)などのブラウザ開発企業やパスワード管理ツールの開発企業は、HIBPと提携して同じデータベースにアクセスすることにより、以前に流出したことがあるパスワードや脆弱なパスワードをユーザーが使おうとすると警告を通知するサービスを提供している。イギリスやオーストラリアなど欧米諸国の政府も政府機関の認証情報が流出していないかどうかを確認するのにHIBPを頼りにしているが、このサービスもハント氏は無料で提供している。

「これこそHIBPの真価を発揮できる分野だと思う。政府関係者は大抵の場合、国と個人の安全を守るために、非常に過酷な環境の中で大した額の賃金を受け取ることもなく働いている」とハント氏は語る。

HIBPはデータの開示性と透明性を第一に運営されてはいるが、それでも、他の場合だったら(特に営利企業だった場合は)規制の壁と融通のきかないお役所的な手続きにがんじがらめにされるオンライン規制地獄に生きていることを、ハント氏は認識している。さらに、ハント氏が流出データをデータベースに投入していることに流出元の企業は必ずしも賛成しているわけではないが、ハント氏によると、HIBPのサービスを止めるために法的な措置を取ると警告してきた企業はまだないという。

「HIBPはそのようなことを超越するくらい筋の通った価値のあるサービスを提供しているのだと思いたい」とハント氏は語る。

HIBPをまねて類似サービスを提供しようとした企業もあったが、HIBPほど成功することはできていない。

「類似サービスが出てきたが、どれも営利目的で、そのうち起訴されてしまった」とハント氏は言う。

LeakedSource(リークドソース)は一時期、流出データをオンラインで販売する最大級の企業だった。筆者がこれを知っているのは、LeakedSourceが流出データを入手したいくつかの大規模なデータ漏えいについて報じたことがあるからだ。楽曲ストリーミングサービスのLast.fm(ラストエフエム)、大人の出会い系サイトAdult Friend Finder(アダルトフレンドファインダー)、ロシアのインターネット大手企業Rambler.ru(ランブレル)などは、そのほんの数例である。しかし、連邦政府当局が目をつけたのは、LeakedSource(経営者はなりすまし犯罪情報の不正取引疑惑について後に罪を認めた)が、不特定多数の人の流出データへのアクセス権を見境なく誰にでも販売していたことが理由だった。

「あるサービスの提供企業が、自社で所有するデータへのアクセス権を有償で提供することは極めて正当なことだと思う」とハント氏は言う。

HIBPでのデータ検索を有償にしても「私の眠りが妨げられることはない。ただ、有償化したことで何か問題が生じた時に責任を負いたくないだけだ」とハント氏は付け加えた。

プロジェクト・スバールバル

HIBPの立ち上げから5年後、ハント氏はこのままだとそのうち自分が燃え尽きてしまいそうな気がし始めた。

「このまま何も変えなかったら燃え尽きてしまうかもしれないと思った。HIBPプロジェクトを持続させるには変化が必要だったんだ」とハント氏は筆者に話してくれた。

ハント氏は、初めはわずかな空き時間を使っていたが、そのうち自分の時間の半分以上をHIBPプロジェクトに費やすようになったのだという。膨大な量の流出データを収集、整理、複製、アップロードするという日々の作業をさばくのに加えて、請求や税金に関する処理など、サイトの維持管理業務すべてを1人でこなさなければならなかった。そのうえ、個人としての事務処理作業もあった。

ハント氏は、HIBPの売却計画を、「人類のよりよい未来のために役立つもの」を膨大に収集しているノルウェーのスバールバル世界種子バンクにちなんで「プロジェクト・スバールバル」と名付けたことを、売却を宣言した2019年6月のブログの中で書いている。この売却プロジェクトは決して簡単に済む仕事ではないことが予想された。

売却の目的はHIBPのサービスの将来を確保することだった、とハント氏は語っている。また同時に、ハント氏自身の将来を確保するためのものでもあった。「買収する企業にはHIBPだけでなく、私のことも一緒に買ってもらう。もれなく私が付いてくることを承諾できない場合、取引はできない」とハント氏は語っている。また、同氏は自身のブログの中で、HIBPのサービスを拡大して、より多くのユーザーが利用できるようにしたいと書いたことがある。しかし、その目的は金銭的な利益ではない、と同氏は筆者に話した。

HIBPを管理する唯一の人間であるハント氏は、誰かが請求書の支払いを続ける限り、HIBPは継続していける、と言っている。「しかし、関わっているのが私1人であるHIBPにはサバイバーシップモデル(本人だけでなく周囲や社会が協力して問題を乗り越えていくという概念)が欠けている」と同氏は認める。

HIBPを売却することによって自分にかかる負担を減らし、サービスがより持続可能な状態にしたかった、とハント氏は語る。「もし私がサメに襲われて食べられてしまっても、サイトが停止しないためにね」と同氏は冗談交じりに言った。オーストラリアに住む限りサメに襲われるのは十分にあり得ることだからだ。

しかし、何よりも重要なのは、買い手がハント氏の要望を完璧に満たせるかどうかという点だった。

買収したいと申し出た多数の企業(その多くはシリコンバレー企業)とハント氏は面会を行った。買い手に求める姿ははっきりとしていたが、具体的にどの企業がその条件を満たしているのか、同氏にはまだわからなかったからだ。どの企業であれ、買収後もHIBPの評判を確実に守れる企業を選びたいと同氏は考えていた。

「もし、個人データを尊重する気がまったくなく利益を絞り取るためだけにデータを乱用するような企業がHIBPを買収したら、私にとって何の意味があるでしょうか」とハント氏は言う。買い手候補の中には利益重視の企業もいくつかあった。利益はあくまでも「付属的なものだ」とハント氏は語る。買い手にとって最大の関心事は、買収後も長期にわたり自社のブランドとハント氏を連携させることであるべきだった。つまり、ハント氏自身への評価と将来の仕事を独占的に買うのである。なぜなら、それこそHIBPの価値の源であるからだ。

ハント氏は、たとえ自分が関わらなくなってもHIBPを今のまま無事に継続させてくれると確信できる企業を売却先として探していた。「人々が私に抱いてくれている信頼と信用を別の組織に受け継ぐには何年もかかるものだといつも考えていた」とハント氏は語る。

ワシントンの米連邦議会上院エネルギー小委員会で証言するハント氏―2017年11月30日木曜日。(AP Photo/Carolyn Kaster)

売却先の選定プロセスとデューデリジェンス作業は「気が狂いそうになるほど大変だった。当初の予定よりも長引くことが何度もあった」とハント氏は語る。実際、この選定プロセスは何か月にも及んだ。その時期に感じた強いストレスについて同氏は率直にこう話している。「実は昨年初め、ちょうど売却プロジェクトを始めた頃に妻と別居し始めたんだ。そして、間もなく離婚した。売却プロジェクトの進行中に離婚まで経験するのがどういうことか想像してもらえると思う。とてつもないストレスを感じた。」

そして、およそ1年後、ハント氏は売却を取りやめたと発表した。機密保持契約があるため詳細を語ることはできなかったが、ハント氏は自分のブログの中で、売却契約を締結しようと決めていた買い手が不意にビジネスモデルを変えたため「取引そのものが不可能になった」と書いている。

「この契約がうまくいかなかったことを聞いてみんな驚いていたよ」とハント氏は筆者に言った。売却話は白紙に戻った。

今考えても、その売却話を断ったのは「正しい決断だった」とハント氏は断言する。しかし、その結果、売却プロジェクトは買い手が決まらず振り出しに戻り、同氏の手元には何十万ドルにものぼる弁護士費用の請求書だけが残った。

ハント氏の将来にとってもプライベートにとっても波乱万丈の1年が過ぎた今、同氏は休養するための時間を取り、激動の1年から通常のスケジュールに戻ることにした。そこに新型コロナウイルス感染症のパンデミックが襲ってきた。オーストラリアは他国と比べると被害が比較的軽く済み、ロックダウンも短期間で解除された。

ハント氏は引き続きHIBPの運営を継続していくことを表明している。これは彼が望んだ、あるいは期待した結末ではなかったが、今のところすぐに次の売却先を探す予定はないという。当面は「いつも通りサイトを運営していく」とハント氏は語る。

ハント氏は今年6月だけで1億200万件以上のデータをHIBPのデータベースに投入したが、それでも、もっと忙しい月に比べると6月は比較的穏やかな月だった。

「私たちは自分のデータを自分でコントロールできなくなっている」とハント氏は語る。そして、そういうハント氏でさえ例外ではないという。流出データ件数が100億件に迫る中、ハント氏自身も20回以上「Pwned(個人データをハッキングされた)」の経験があるそうだ。

今年初め、ハント氏は、とあるマーケティングサイトから流出した膨大な数のメールアドレスをデータベースに追加し、それを「Lead Hunter(リード・ハンター)」と名付けた。同氏は6800万件にのぼるデータをHIBPに投入した。同氏によると、公表されているウェブドメインレコードを誰かがかき集めてスパムメール用の巨大データベースに作り替えたのだが、それを別の誰かがパスワードをかけずにパブリックサーバーに放置したため、誰でも入手できる状態になっていた。それを見つけて入手した人がハント氏に手渡し、同氏はそれをいつものようにHIBPのデータベースに投入して、登録されている何百万人ものユーザーにメール通知を送信した。

「よし、作業完了だ、と思ったら、自分のメールアドレスにHIBPから『Pwned(流出しています)』という通知メールが届いたんだ。」

「自分でも意外なところで流出していて驚いているよ」とハント氏は笑って言った。

関連記事:Twitterは不正アクセスによってハッカーがユーザーのDMを盗み読みした可能性について答えず

カテゴリー:セキュリティ

タグ:コラム ハッカー

[原文へ]

(翻訳:Dragonfly)