情報漏えいは、私たちのデジタルライフの家具の一部です。他の企業からデータが流出しない日はほとんどありません。こうした事件が多発している一方で、2018年には他にもいくつかの変化がありました。

EU一般データ保護規則（GDPR）の施行により、企業はあらゆる情報漏えいを72時間以内に開示することが約束された。そこで、今年最も注目されたハッキングの事例をいくつかご紹介します。

1 アーマーの着用

影響を受けるユーザー：1億5千万人

公開されたデータ：ユーザー名、メールアドレス、ハッシュ化されたパスワード

世界中の多くの人にとって、食事と運動の記録アプリ「MyFitnessPal（MFP）」は、フィットネスの旅の毎日のお供です。そのため、スポーツウェア企業のアンダーアーマーがデジタルサービスの一環としてMFPを買収したことは驚きではありませんでした。2018年3月、アンダーアーマー（UA）は、MyFitnessPalが侵害され、アプリのユーザー1億5000万人のユーザー名、メールアドレス、ハッシュ化したパスワードが漏洩したとする声明を発表しました。

同社は迅速に対応した。MyFitnessPalは、情報漏えいの事実を知ってから4日以内に、全ユーザーに電子メールで最新情報を送り、FAQサイトを作成しました。彼らはすべてのユーザーに対して、直ちにパスワードを変更するようアドバイスし、（曖昧に）"ユーザー情報への不正アクセスを検知・防止するための（自社の）システムの強化 "を継続するとしています。

一見すると、アンダーアーマーのユーザーはうまくいっているように見える。しかし、bcrypt（パスワードを読み取り不可能な文字列に変換する処理）でハッシュ化されているパスワードもあれば、そうでないものもある。データを明らかにするわけではありませんが、MFPのユーザーの一部は、ハッシュの中でも最も弱いと広く言われているSHA-1のみで保護されています。

今年初めに発生した情報漏洩ですが、2018年9月現在、情報漏洩の原因やUAが今後の攻撃をどのように防ぎたいのか、続報はありません。また、SHA-1ハッシュを使い続けるかどうかの詳細も明らかにされていない。

2 ブリティッシュ・エアウェイズ

影響を受けるユーザー：不明

暴露されたデータ：お客様の個人情報および財務情報

夏も終わりに近づいた9月初旬、英国最大の航空会社であるブリティッシュ・エアウェイズは、顧客情報の盗難について緊急に調査中であると発表しました。同社は事件情報サイトで、盗難の影響を「2018年8月21日22時58分（英国夏時間）から2018年9月5日21時45分の間に予約・変更したお客様［...］」と発表しています。盗まれたデータには、名前、電子メールアドレス、請求先住所、銀行カード情報などが含まれていました。

もしあなたがこの攻撃の不幸な犠牲者の一人であったとしても、ブリティッシュ・エアウェイズは、盗難の直接的な結果としてあなたが出費することはないことを約束します。ただし、何をもって「直接的な結果」と判断したのかについては言及されていない点は注目に値します。公開後の数日間、The Registerは、外部の決済スクリプトが攻撃に関与している可能性があると報じた。セキュリティ企業のRiskIQは、この攻撃は、2018年の初めにチケットマスターによく似た攻撃を仕掛けたMagecartというグループによって行われた可能性が高いと述べています。

この攻撃のちょうど1年前、ブリティッシュ・エアウェイズは大規模なコンピュータの停電の中心となっていた。この障害により同社のITシステムは急停止し、すべての航空機が着陸し、数千人の乗客に影響が出た。世界中で話題になったにもかかわらず、ブリティッシュ・エアウェイズはこの未曾有の大停電の原因について何も語っていない。

III.タイピング

影響を受けるユーザー：不明

曝露データ：個人を特定できる情報を含む調査データ

過去数年間にオンラインアンケートに回答したことがあるなら、おそらくデータ収集サイトのTypeformを利用したことがあるだろう。同社のアンケートは設定が簡単でユーザーフレンドリーであるため、企業に人気がある。Typeformの顧客はエンドユーザーではなく、企業である。そのため、2018年6月に脆弱性を発見した際、同社はお客様に注意喚起を行いました。

Typeformのインシデント対応ウェブサイトは詳細な情報を欠いており、企業が顧客にどのように情報開示を行うべきかという点に焦点が当てられています。分かっているのは、Typeformの侵害は、2018年5月3日からの部分的なバックアップへの不正アクセスによるものだということです。しかし、このデータがどこまでさかのぼれるかは不明である。また、選択したフォントには詳細な内訳が記載されていないため、影響を受ける総数も不明です。

しかし、違反が判明した組織のリストは非常に広範囲に及んでいます。英国の小売業Fortnum & Masonとjohnlewis、およびオーストラリアのベーカリーチェーンBakers Delightが影響を受けました。その他、Airtasker、Rencore、PostShift、Revolut、Middlesex University Students' Union、Monzo、Tasmanian Electoral Commission、Travelodge、英国自由民主党などの被害者が知られています。

株式会社フォーエクサクティス

影響を受けるユーザー：3億4千万人

公開されたデータ：社会保障番号とクレジットカード番号を除く、想像しうるすべてのデータ

現代経済では、製品やオンラインサービスを無料で提供するために、データをやり取りしています。しかし、このデータ収集に反対する人たちが増えている。彼らはこの行為を「監視○○○○」と蔑称している。2017年のEquifaxのハッキングやFacebookのCambridge Analyticaのスキャンダルの後、この感情はより一般化した。Equifaxが裏であなたの詳細を収集していたことに驚かれるかもしれません。悲しいかな、彼らだけではないと知っても、それほどショックは受けないでしょう。

今年6月、セキュリティ研究者のVinny Troia氏がコンピュータの検索エンジン「Shodan」を使って、3億4千万件の記録を含むデータベースを発見した。マーケティング会社のエキザクティスは、一般に公開されているサーバーでデータベースを保護しました。Equifaxのハッキングによる1億4550万件の記録が大きく報道されましたが、Exactisのデータベースは3億4000万件を超えています。しかし、**Equifaxのデータとは異なり、Exactisのデータベースはセキュリティ研究者によって発見されたものです。悪意を持ってアクセスしたという証拠はない。

Exatisは、私たちの個人情報を売買するデータ仲介会社です。そのため、約2億1400万人の個人と1億1000万社の企業のデータを保有するようになりました。ワイアードによると、これらの記録には、"喫煙の有無、宗教、犬や猫を飼っているかどうか、スキューバダイビングやプラスサイズの服など多種多様な関心事など、さまざまな特定の特性に関する400以上の変数 "が含まれているという。

しかし、ここには明るい兆しがあります。Equifaxとは異なり、識別可能なデータを大量に保有しているにもかかわらず、財務情報は一切保有していない。しかし、悪意のある者がデータベースにアクセスしたことが判明した場合、ソーシャルエンジニアリングのチャンスはいくらでもあります。

5段ジャンプ時

影響を受けたユーザー：2100万人

公開されるデータ：氏名、メールアドレス、生年月日、性別、国番号、電話番号

私たちの長年のノスタルジーが結集して、大きな意味を持つようになったのです。Timehop.Timehopアプリは、あなたのソーシャルネットワークに接続し、あなたの古い投稿を再表示し、あなたがこの過去の日に何をしていたかを思い出させる、この過去への愛をうまく利用した企業はありません2018年7月に、Timehopは独立記念日に中断されたサイバー侵入を発表しました。

2時間以内に攻撃を止めたにもかかわらず、侵入者は大量のデータにアクセスすることができました。残念ながら、これにはアプリのユーザー2100万人の氏名、電子メールアドレス、生年月日、性別、場合によっては電話番号も含まれていたのです。しかし、攻撃者がソーシャルメディアの投稿やプライベートなメッセージにアクセスするのを防ぐことができたのです。

攻撃者は、ユーザーが接続しているソーシャルネットワークへのアクセスを可能にする、保存されたOAuth2キーの入手に成功しました。脆弱性の公表に先立ち、Timehop社はソーシャルネットワークと協力して、これらのキーを無効化し、ユーザーに接続アカウントの再認証を強制しました。

同世代の多くの企業とは異なり、イベントのウェブサイトは非常にわかりやすく紹介されています。攻撃の解説は、技術的であると同時にわかりやすいものです。さらに、アクセスデータの組み合わせと、影響を受けた人数を一覧表にした、わかりやすい表も用意されています。もちろん、懐メロアプリの被害者である2100万人の慰めにはならない。

次のデータ流出から身を守る

かつて安全だと思われていたサービスは、そのセキュリティ対策の甘さもあって急速に崩壊しつつあります。インターネット上のどこもかしこも安全なのだろうか、とさえ思い始めるかもしれません。特に、データ収集によって個人情報が流出した回数を考えると、なおさらです。もし、何か問題が起きたと心配なら、オンラインアカウントがハッキングされていないかどうか確認する必要があります。

あなたを守る責任は、被災した企業の足元にあるのです。しかし、サイバー衛生を向上させ、防御を強化する方法があります。パスワードは私たちが最も頭を悩ませる問題の一つですが、良い知らせもあります。パスワードの代用品が主流になるのも、そう遠い先のことではないかもしれません。

写真提供：Stevanovicigor/photo