CAM4のデータ漏えいで起こったこと

２０２０年には、史上最大のデータ侵害事件が発生しました。そのひとつがCAM4のデータ漏えいで、メールやハッシュ化されたパスワードなど約１１０億件の記録を含む７テラバイトのデータが流出したのです。

CAM4 は、世界中のクライアントにセックスカムサービスを販売するアダルトプラットフォームです。流出したデータベースの膨大なサイズを考えると、CAM4は膨大なユーザーベースと毎年約２０億人の訪問者で非常に人気があると言えるでしょう。
‏‏‎ ‎
データの機密保持には、TeamPasswordの１４日間無料トライアルをぜひお試しください。

「データ侵害」と「データ漏えい」

CAM4 の騒動を完全に理解するには、『データ侵害』と『データ漏えい』を区別することが重要です。どちらも「犯罪者が組織からデータを盗む」という点では同じですが、攻撃に至る経緯が異なります。

データ侵害とは、サイバー犯罪者がソーシャルエンジニアリングやその他のハッキング技術などの悪質な方法を用いてシステムやデータベースに侵入することです。基本的に、犯罪者はこういったシステムに積極的に侵入します。

一方、データ漏えいは、従業員の能力不足や過失の結果として起こります。システムへの侵入ではなく、パスワードの漏えいやデータベースの公開といった「裏口」を見つけてしまうのです。今回のCAM4のデータ漏えいは、その「裏口」に起因しています。

CAM4 漏えい事故の原因

ウイルス対策ソフトウェアサプライヤーである Safety Detectives社 の研究者チームは、２０２０年初頭に CAM4 のデータベースを発見しました。チームは、安全が確保されていないデータベースの検索を定期的に行っていたところ、CAM4 の設定ミスのある『 Elasticsearch』の本番環境に遭遇しました。
Elasticsearchは、組織が大規模なデータベースを検索しやすくするエンタープライズ向け検索エンジンであり、CAM4 Elasticsearch は、従業員がユーザー記録やアクティビティ記録をスキャンするのに使われる内部検索エンジンです。

CAM4 の誰かが Elasticsearch の設定を誤り、そこでパスワード保護なしでデータベースがオンラインになってしまい、IPアドレスを知っている人なら誰でもデータベースにアクセスすることができるようになってしまいました。

CAM4 の誤操作は単独の事件ではなく、２０２０年の間だけでも多くの著名なElasticsearchの漏えいが起こっていますが、１１０億件もの記録という驚異的なデータ量から、 CAM4 が突出してしまっているだけなのです。

ちなみに CAM4 以前は、Elasticsearchの最も重大なリークは Decathlon 社によるもので、５０億件の記録を誤って流出させてしまった事件でした。

セキュリティコンサルタントのボブ・ディアチェンコ氏は、こうした漏えいは比較的よくあることだと言います。「ElasticSearchのインスタンスが大量に公開されるのは、本当によくある経験ですが...。この『CAM4事件」の唯一の驚きは、今回公開されたデータです。」

ラッキーな巡り合わせ

公開されたデータベースが、サイバー犯罪者ではなくセキュリティ会社によって発見されたことは、CAM4 にとって非常に幸運でした。アダルトサイトやアプリケーションは、不適切な動画や画像など、非常にセンシティブなユーザーデータを扱いますからね。

犯罪者は、CAM4 のようなサイトから盗んだデータを、ゆすりや性的脅迫詐欺に使うことがよくあり、例えば２０１５年に発生したアシュレイ・マディソン社のデータ侵害事件の被害者は今もターゲットにされています。

CAM4のデータ漏えいで流出した情報

CAM4 データ漏えいの１１０億件の記録には、以下のユーザー情報が含まれていました：

• 姓名
• メールアドレス
• パスワードのハッシュ値
• 出身国および登録日
• 性別、性的指向
• デバイス情報
• 言語 
• ユーザー名とチャットログ
• カードの種類と通貨を含む支払い記録
• メールでのやり取りの記録
• 他のユーザーや CAM4 サポートとのやり取り
• トークン情報
• IPアドレス
• 詐欺やスパムのログ

通常のウェブサイトでは、このようなデータを公開することは恐ろしいことであり、CAM4 のようなサイトの機密性の高いデータにとっては、想像を絶する恐怖です。

ちなみにメールアドレスは１１００万件、パスワードハッシュは２６件以上、クレジットカードの種類や決済情報を含むフルネームは１０００件だけありました。

発生国のログによると、米国、ブラジル、イタリアのユーザーが最も影響を受けていますが、無数の重複した記録があったため、正確な国の内訳の判断は難しいところです。

ここで重要なのは、このような記録が簡単に読めないということです。誰かが時間をかけてログを掘り下げてトークンとユーザープロファイルを照合させないといけないのです。

「ログを掘り下げて、トークンや実在の人物につながるもの、あるいはその人物の身元を明らかにするようなものを本当に探さないといけません...。もちろんオンラインで公開されるべきではありませんが、かつて見たこともないほど恐ろしい事というわけではないと言えるでしょう。」- セキュリティコンサルタント　ボブ・ディアチェンコ氏

TeamPasswordは、情報を「非公開」にすることができます。無料トライアルでぜひご確認ください。

CAM4 のデータ漏えいの影響

この記録を発見したSafety Detectives 社は、直ちに CAM4 の親会社であるGranity Entertainment 社に連絡し、３０分以内にデータベースをオフラインにしました。

Safety Detectives 社によると、記録への内部アクセスは極めて限られており、CAM4のユーザーデータが流出したことを示す証拠はないとのことです。

アダルトコンテンツのユーザーは通常、匿名を好むため、この侵害による社会的な反発はあまりありませんでした。ただ、もし犯罪者がこのデータを取得していたら、Granity Entertainment 社は大規模な訴訟に直面し、欧州のGDPR（一般データ保護規則）に基づく起訴と罰金の可能性があったでしょう。

クレデンシャルスタッフィング攻撃の潜在的リスク

ゆすりや性的脅迫詐欺の他に、サイバー犯罪者は CAM4 のユーザーデータを使って「クレデンシャルスタッフィング攻撃」を行った可能性があります。

クレデンシャルスタッフィング攻撃は、犯罪者がある違反行為の認証情報を使って、別のウェブサイトやアプリケーションに侵入する際に発生します。人は利便性のために、複数のウェブサイトやアプリケーションで同じメールアドレスとパスワードをよく使いまわしますからね。

問題は、ハッカーがあなたのアカウントのうち１つを侵した場合、アカウントのパスワードがどんなに強力であっても、同じ認証情報を使って全アカウントにアクセスできてしまうということです。

サイバー犯罪者はボットを放ち、多く利用されているウェブサイトやアプリケーションを巡って、あなたのログイン情報を探ります。そこでもし一致するものがあれば、そのアカウントに完全にアクセスすることができ、その情報はよくダークウェブで販売されます。それによってあなたは様々なサイバー犯罪に巻き込まれることになるのです。

CAM4 の対応

CAM4 では、データベースを直ちにインターネットから削除するとともに、サーバーを社内 LAN に移動し、遠隔からアクセスしにくいようにしました。また、ユーザーを保護するため、個人を特定できる情報も削除しました。

データ漏えいや侵害から身を守るには

あなたがアカウントを持っているウェブサイトやアプリケーションでデータ侵害が発生した場合、犯罪者があなたのデータを盗むのを防ぐ術はあまりありません。ただし、自分自身でその影響を軽減するための予防策を講じるのは可能です。

必要以上のデータを提供しない

アプリやウェブサイトから必要な機能やサービスを実行するのに必要な個人情報のみを提供することで、露出を最小限に抑える方法があります。例えば、自宅の住所を記載する理由がない場合は、プロフィールにその情報を記載しないようにしましょう。

決済にバーチャルカードを利用する

アプリ内決済には別のバーチャルカードを使いましょう。多くの銀行では、オンライン決済に使用するバーチャルデビットカードを作るオプションを提供しています。バーチャルカードでは、支払い限度額を設定することで、犯罪者があなたの口座から根こそぎ盗っていくのを防ぐことができます。

バーチャルカードは簡単に解約でき、通常通り口座を利用することができます。通常のデビットカードやクレジットカードの解約時は、銀行が新しいカードを発行するまで口座が凍結されます。その際、銀行によっては、１週間以上かかる場合もあります。

アカウントごとに異なる認証情報を使う

アカウントごとに必ず異なるパスワードを使いましょう。複数のアカウントに同じパスワードを使うと、クレデンシャルスタッフィングやその他のサイバーセキュリティ上の問題にさらされることになりますからね。

パスワードは、数字、大文字、小文字、特殊記号を含む１２文字以上であるべきであり、その際パスワードジェネレータを使えば、安全なパスワードを推測で選ぶ必要はありません。

TeamPasswordでアカウントの安全確保

TeamPassword のようなパスワードマネージャーは、サイバー上の脅威の軽減のために企業ができる最高の投資であり、TeamPassword を使えば、生のパスワードデータを公開することなく、ログイン情報を共有することができます。

TeamPassword は、ログイン認証情報をホストおよび共有するための安全なプラットフォームをユーザーに提供する、認定された安全なホスティングプロバイダーです。機密情報は、自らのコンピュータ上でハッシュ化、ソルト化、暗号化され、暗号化された接続を介してサーバに送信されます。

共有のための構築

組織というのは、チームメンバーやフリーランサー、および請負業者とログイン情報を共有する方法が必要であり、多くの企業は、ログイン情報を含むスプレッドシートの作成や、メールやチャットグループを通じた送信によってそれを行っています。

ただこれだと、誰でもそのパスワードをコピーして共有することができ、どこから侵入してきたかの追跡は不可能に近いです。

TeamPasswordでは、実際の生のパスワードを共有することはなく、グループを作成し、必要な人にだけアクセスを共有することができます。また、 Chrome、Firefox、Safari 用のブラウザ拡張機能が付属されているので、チームはどのデバイスにもパスワードマネージャをインストールすることができます。

安全なパスワードを１クリックで作成

TeamPasswordにはパスワードジェネレータが内蔵されているので、１クリックで強固なパスワードを作成でき、その際は大文字、小文字、数字、記号の組み合わせを１２文字から３２文字の間で選ぶことができます。

TeamPasswordは、新しいパスワードを即座に生成し、チームメンバー全員のログイン情報を更新します。

TeamPasswordでユニークなパスワードを作成すれば、万が一のデータ侵害や漏えいの際にも、クレデンシャルスタッフィング攻撃の犠牲になる心配はありません。

ビジネスの構築に専念していただけるよう、セキュリティ管理をTeamPassword に任せてみませんか。今すぐ １４ 日間の無料トライアルに登録して、TeamPassword の機能をぜひご覧ください。