Airpods

シアトルのハッカーは匿名アプリ「シークレット」のハッキングで、誰も隠れられないことを証明した。

シアトルのハッカーは匿名アプリ「シークレット」のハッキングで、誰も隠れられないことを証明した。
ベン・コーディルとブライアン・シーリーによるSecretハッキングは、アプリの曖昧な「友達」ラベルを密告者へと変貌させた。(画像: ベン・コーディル)
ベン・コーディルとブライアン・シーリーによるSecretハッキングは、アプリの曖昧な「友達」ラベルを密告者へと変貌させた。(画像:ベン・コーディル)

Secret で本当に秘密なことは何も共有していないですよね?

よかった。シアトルのハッカーが、人気の匿名ソーシャルメディアアプリが悪質な仲間だと暴露したからだ。

シアトルの新興企業 Rhino Security Labs のベン・コーディル氏とブライアン・シーリー氏は、電子メールアドレスか電話番号だけを使って、Secret ユーザーが匿名で共有した投稿、つまり「秘密」を明らかにする方法を編み出した。

コーディル氏が Secret に、そして脆弱性が修正された後に Wired の上級編集者で元ハッカーのケビン・ポールセン氏に伝えたこの比較的単純なハッキングは、インターネット企業が自分たちが提供できると主張し続けるセキュリティに関して、広く共有された警告の物語となった。

私たちが最終的に彼らを信じなくなるには何が必要だと思いますか?

「匿名だからといって追跡不可能なわけではないということを人々に知ってもらいたい」と、シークレットのCEO、デイビッド・バイトウ氏はWired誌のポールセン氏に語ったが、これはアプリとともに展開されたあらゆるマーケティングの精神と矛盾している。

「私たちは、あなたが常に完全に安全で、完全に匿名であるとは言いません。」

言い換えれば、「匿名のソーシャルメディア」は常に「十分に匿名のソーシャルメディア」を意味してきました。

ベン・コーディル
ベン・コーディル

*ため息*

コーディルのような倫理的なハッカーは、こうしたスピン戦争の英雄だが、彼らの力には私も恐怖を感じる。私たちのような無知なユーザーの多くは、熱心なアプリ開発者が主張するような、魔法のように素晴らしいインターネットを目にするが、彼らは脆弱性だらけの不完全な構造を、悪用されるのを待っているだけだと見ている。

ルークからダース・ベイダーまではほんの一歩です、ご存知ですか?

「ダークサイドの力を過小評価しているな…」

コーディルは私の言いたいことを理解してくれています。

「私は、銀行に入って、何気なく、警備員がどこにいるか、防犯カメラがどこにあるのか、金庫が窓のどこにあるのかを見るような人間だと思っています。それはすべて悪意のあるように見えるかもしれませんが、それが今の私の世界の見方なのです」と彼は語った。

(画像:ベン・コーディル)
(画像:ベン・コーディル)

コーディル氏は、自身とシーリー氏のハッキングをSecretに報告したことで、報奨金(いわゆる「報奨金」)を受け取った。しかし、彼は金銭目的でそうしたわけではない。(金銭は支払われていない。YahooやSquareといった企業は、バグ報告・報奨金プラットフォーム「Hacker One」のユーザーに数百ドルの現金報奨金を出しているが、Secretはギフトバスケット方式にこだわっているとコーディル氏は語った。)

彼がそれをしたのは、真のハッカー精神で、それができるかどうか知りたかったからです。

この宣伝は、彼が創業18カ月になる警備会社にも悪影響を及ぼさなかった。

コーディル氏は同社のブログ投稿でこのハッキングについて説明したが、簡単に言えば、これはSecretがユーザーの個人情報を保護するために使用している機能から始まる。つまり、自分の連絡先(電話の連絡先またはFacebookの友達)のうち少なくとも10人がSecretユーザーでない限り、アプリはフィード内の投稿を「友達」からの投稿としてラベル付けしないのだ。

「このエクスプロイトの基本的な仕組みは、新しい秘密のアカウント(このアカウントをBadGuyと呼ぶ)を作成し、多数のダミーの友達(BadGuysFriends 1から10)を作成し、そこに本物の人物を1人(被害者)追加すれば、被害者がどのような秘密を投稿したかがわかるというものだ」とコーディル氏は書いている。

このように1人か2人のユーザーをターゲットにするのは面倒だが、SecretのAPIを利用して、Caudillはダミーアカウントを自動作成するスクリプトを作成し、非常に強力な自白剤を作成した。ユーザーの過去の秘密も危険にさらされていた。

2

そして、まさにそのように、アプリの匿名性は、ハッカーがアプリにアクセスしようとする意欲と同じくらいしか安全ではなくなりました。

「効果的で優れたサイバーセキュリティは技術的な課題であると同時に考え方の問題でもあるということを、私たちは何度も人々に説明しなければならなかった」とコーディル氏は書いている。

「その弱点を見つけるのは、悪人ではなくプロに任せたほうがいいですよね?」

Secret に関して、コーディル氏は、自分はたまにしか使わないと言い、Secret の CEO バイトウ氏が Wired のコメントで明らかにした、デジタル時代のセキュリティの醜悪な、そしてしばしば軽視される性質、つまり「常にベータ版である」という点を認めた。

Secret や、私たちの信頼を誘惑する他のすべてのアプリをアンインストールすべきでしょうか? いや。

しかし、絶対的なデジタル セキュリティなどあり得ないのに、絶対的なデジタル セキュリティという理想に固執し続けるのは、もはや時代遅れだ。

Caudill 氏の言葉を借りれば、「真剣に懐疑的」になる方が賢明であり、セキュリティをオン/オフの二者択一のスイッチとしてではなく、具体的に何を保護しているかによってその強さが決まる特性として捉えるべきです。

あなたを火傷させてしまうほど熱い秘密を持っていますか?

それを自分だけの秘密にしておきたいかもしれません。