Microsoftの「Windows」ベースのサーバやネットワークを専門にしているセキュリティコンサルタント兼研究者であるMark Burnett氏は米国時間2月9日、既存の情報から集積した、1000万件のユーザー名とそのパスワードがセットになったデータをオンラインで公開した。この情報は、パスワードとユーザーの行動に関する研究を進める目的で、インターネット上から収集されたものだ。
パスワードを研究するためのこのデータは今まで、Burnett氏自身の所有にとどまっていたが、同氏は世の中の人々と共有することにした。同氏はブログ投稿で、このデータセットは「ユーザーの行動に関する深い洞察をもたらすとともに、パスワードのセキュリティを向上させるうえで価値がある」ため、「整理された状態でデータを世の中の人々に提供」したいと考えたと説明している。
一般公開されたこのデータセットが、他の研究者らにとって貴重なものとなるのは間違いない。しかしこの話は、法律が絡んでくるとややこしくなってくる。
米連邦捜査局(FBI)から追及されないよう、Burnett氏は情報を公開した理由を以下のように説明している。
ここでは、詐欺行為やコンピュータシステムへの不正アクセスのほう助、第三者のID情報の盗難、その他いかなる犯罪にも加担するつもりはないし、個人や組織に危害を加えることも決して意図していない。認証をより安全にするための研究が促進され、詐欺行為や不正アクセスからの保護が強化されるようにすることが唯一の目的だ。
1000万件のユーザー名やパスワードが不正に使用されないよう、Burnett氏はドメインの記載をすべての電子メールアドレスから削除し、またアカウントが特定の企業と結び付かないようにするため、世界で過去5年間に起きたインシデントのデータサンプルや(過去10年分の)他のデータを混入した。また、企業名などのキーワードを消去し、ログインデータがどこものであるかを分からないようにした。
さらに、同氏は「特定個人に結び付く可能性のある情報を削除するため、データの多くを手作業で確認」し、資産に関わる情報や、政府や軍事関係者の情報を取り除いたという。
また、Burnett氏は以下のように述べる。
ほとんどが使えないパスワードだと思う。死んだパスワードでは認証ができないのだから、これらは認証情報とは定義されない。有効な認証情報が含まれている可能性は低く、このデータは違法行為には役立たないだろう。私の知る限りでは、これらのパスワードは死んでいる。
そして、同氏は次のように結んでいる。
これは学術研究目的や認証セキュリティの向上に向けた非常に価値あるデータだ。これこそが、パブリックドメインに公開した理由だ」
(中略)
他の人のようにこのデータを匿名で公開することもできた。だが、そうすべき理由が自分には見当たらない。犯罪目的でこれをやっているわけではないからだ。われわれに対して法を行使するのではなく、本来なら私たちを守るべき立場の法執行機関を、研究者や学生、ジャーナリストが恐れることなどあってはならない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
