GhostShellがリークした情報の中には、接続しているIPアドレス、デバイスの情報、位置情報データ、ブラウザの種類、(固有のデバイスを識別や追跡ができる)ユーザーエージェント、アカウントを作成した時期、ユーザーが最後にログインした時期などのメタデータも含まれていた。
パスワードの多くはハッシュ化されソルトが加えられていた。だが、オンラインで提供されているツールを利用すると(すべてではないが)多くのパスワードのスクランブルを解除できた。
データの一部の解読を手伝ってもらったCyber Wars News創業者であるセキュリティ研究者Lee Johnstone氏によると、「ハッシュされていないものよりもハッシュ化されたパスワードの方が多い」と述べた。
ファイルを深いレベルまで調査したのち、Johnstone氏はキャッシュに62万6000件の固有の電子メールアドレスを発見した。この中には、.milアドレスが数十件含まれていたほか、米国土安全保障省、連邦捜査局(FBI)、連邦航空局(FAA)、内国歳入庁(IRS)、米海軍など1300件以上の.govアドレスも入っていた。さらには、大学などの.eduアドレスも7000件以上入っていた。多くが教育機関のスタッフのものと見られる。
あるデータベースには、14万件のユニークな電子メールアドレスが含まれていた。GhostShellに聞いてみたところ、このデータベースは「米国の超大手企業のトップIT」の詳細が含まれていると教えてくれた。つまり、Apple、IBM、Microsoft、さらにはFBIなど連邦機関のシニアレベルのITスタッフのことである。
このデータベースは、ニューヨーク州ロングアイランドに本拠地を置くホスティング企業Webairがホスティングしていた。Webairの代表者は安全ではないサーバをホスティングしていたことについて、以下のコメントを発表した。
「問題のデータベースファイルはセルフマネージドサーバ上でホスティングされていたものだ。つまり、顧客が全体のインフラスタックに責任をもつことになり、これにはセキュリティ、データベース、OSも含まれる。顧客が保護されていないデータを公開ウェブサイトにアップロードした場合、それは顧客の責任となる。Webairは顧客の決定になんのコントロール権も持たない」。
GhostShellは筆者に、「Webairを困らせようというわけではない」と述べる。「だが、古い企業で巨大な資本をもち、巨額を払う顧客を抱えているのなら、少なくとも保護しようとすべきだ」と続けた。
今回のリークはダウンロード可能なキャッシュだけでも、2016年に入って最大級だ。だが、時間とリソースを考えると、規模はさらに大きいだろう。
「最悪なのは、これは私が手をつけられるほんの一部にすぎないってことだ」とGhostShellは述べた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
