ハクソク

世界を動かす技術を、日本語で。

1,000件のデータ侵害後、情報開示の遅れは悪化している

11時間前原文(troyhunt.com)

概要

  • Have I Been Pwned(HIBP) のデータ侵害登録数が 1,000件 に到達
  • GDPRやCCPAなどの プライバシー規制 が進展しても、HIBPの必要性は依然として高い
  • 情報開示の遅延 が深刻化し、被害者への通知が大幅に遅れる傾向
  • クラスアクション訴訟の増加が 情報開示遅延の一因
  • 法的義務の抜け道が存在し、 通知されないケース も多発

なぜHave I Been Pwnedは今も必要なのか

  • Carnival など大手企業のデータ侵害事例において、 情報開示までに数週間~数ヶ月 の遅延発生
    • ShinyHuntersによる攻撃で8.7百万件の顧客データが流出
    • 公開から43日後にようやく公式発表
  • HIBP では85%のメールアドレスがすでに登録済み
  • 被害者が企業に問い合わせても「 侵害はない」と回答される事例
  • 企業側の説明:「 被害範囲の特定に時間がかかる」との主張
    • しかし、メールアドレス抽出や初期通知は技術的に容易
  • Zara の事例では45日間の開示遅延
    • 197,000件のメールアドレス流出、60%は既にHIBPに存在
  • クラスアクション訴訟 の急増が、企業の開示遅延に影響
    • 訴訟リスクを避けるため、法的最小限の対応に徹する傾向

プライバシー規制と情報開示の抜け道

  • GDPRやCCPA等の プライバシー規制 には「 高リスクの場合のみ通知」という抜け道
    • 例:UKでは「個人の権利や自由に重大なリスクがある場合のみ通知」
    • オーストラリアでは「深刻な損害が見込まれる場合のみ通知」
  • 企業は通知義務を回避 するため、被害の深刻度を過小評価する傾向
  • ZenBusinessやCharterなど、 被害者に一切通知しない事例
  • センシティブ情報」の定義が限定的
    • メールアドレスやロイヤリティ情報は対象外となりやすい
  • 組織の第一優先は 顧客保護ではなく株主保護
    • 「顧客が最優先」「セキュリティ重視」は建前に過ぎない

情報開示を巡る社会的責任と現実

  • 多くの企業は 法的義務ギリギリ の対応に終始
  • 社会的責任 としての通知義務が軽視されがち
  • 被害者は「 自分のデータ漏洩を知らされない」という現実
  • HIBPのような 第三者サービスの存在意義 がますます高まる状況
  • 企業も被害者であることは認めつつ、 被害者への誠実な対応 が求められる

まとめ:1,000件後も続くHave I Been Pwnedの使命

  • 情報開示の遅延・不十分な通知 が常態化
  • 法律の抜け道や訴訟リスクへの配慮で、 被害者本位の対応が後回し
  • HIBPは 社会的ギャップを埋めるため に今なお不可欠な存在

Hackerたちの意見

企業がそんな情報を早めに開示するビジネス的な理由ってあるのかな?

世界のどこにいるかによるかな。GDPRは、漏洩から72時間以内に影響を受けた個人に通知しなきゃいけないから、ビジネス的には十分な理由になると思う。罰金もかなり高いしね(特に一部はめちゃくちゃ高い)。

創業者や経営陣が大株主のB2Bテック企業なら、そうだね。もし.onionアドレスに公に通知が出てたり、顧客データのサンプルがオンラインに公開されたりしたら、開示しないことや対応しないことは、直接的な商業的影響を生むよ。パイプラインの取引が全部ストールするのを覚悟しないと。製品や会社は、すべてのGRCチームにフラグが立てられて、製品を買おうとしているステークホルダーは、突然リスク委員会やCISO、CTO、創業者との会議に行かなきゃいけなくなる。なぜあなたから買うのがリスクに見合うのか、競合他社と比べて説明しなきゃいけないからね。問題を解決していなければ、それは文字通り取引を破綻させる要因になる。プレスリリースを書いて、顧客に通知して、根本的な問題に対処するのが早ければ早いほど、その事件をどう対応したか、どう収束させたか、どう改善したかの信頼できるストーリーに変えられる。もし反応しなかったり、否定したりしたら、取引は終わりだよ。創業者や経営陣が大株主の企業について言ったのは、他のほとんどの企業には同じインセンティブがないと心から思ってるから。株価はこういう事件で大きく影響されるわけじゃないし、むしろ雰囲気や市場状況、一般的なテック経済の影響を受ける。サイバーセキュリティやデータの事件よりも、株価を動かす要因はたくさんあるからね。ただ、営業収益や利益には影響が出る。成長のために必死な経営者たちは、こういう事件が1年の進展を台無しにする可能性があることを理解してるから、真剣に受け止める可能性が高い。商業的な結果に直接さらされてるからね。こういう問題を隠そうとしたり、無視したりする企業は、だいたい2つのパターンに分かれる。1つ目は、顧客との接点が全くなくて、「理想的な法的リスクの結果」を追い求める弁護士の話を聞く方が、財務的、顧客、サイバーセキュリティリスクの最善の結果を追求するよりも優先される。私の経験では、こういう経営者は独立して裕福だったり、もともと裕福な出身で、現状維持が最優先なんだ。2つ目は、適切に対処するインセンティブがない(報酬もペナルティもない)。つまり、ボーナスを失うこともないし、首になることもないし、何か「うまく」対応しても報われることがない。彼らは「本質的に」リスクにさらされていると言うかもしれないけど、ビジネスが影響を受ければ自分たちも影響を受ける(株価や業績ボーナス)から、でもそれは本当に不誠実だよ。彼らにとっては、ほとんどの場合、実質的な違いがないからね。B2CやB2Bで「伝統的」なことをやっている企業には? いや、インセンティブは全くない。GDPRやCCPA、その他の法律も、あまり影響を与えていない。

これからもっとデータ漏洩が増えるよ。GoogleとAppleは、アプリ開発者向けのホットフィックスの更新を制限してる。大量のコードがインフラにプッシュされてるから、システムが負担を抱えてるんだ。だから、更新のレビュー期間を最低3日間にしてる。アプリの脆弱性やデータ漏洩を直すのは大変だね。

AIコードがレビュー過程を遅らせることとデータ漏洩の関係がよくわからないな。

心配しないで、バイブコーダーたちはすぐに飽きるよ。彼らはNFTを作ったりビットコインをマイニングしてた連中だから、すぐに次の流行に移るさ。彼らは同じ人たちじゃなくて、アーキタイプみたいなもんだね。長期的には続かないよ。

今の時点では、すべてのアカウントが漏洩したり、ハッキングされるのは時間の問題だと思っておいた方がいいよ。いつ起こるかの問題であって、もし起こらないってことはないから… 重要なものには、異なるメールのプラスアドレス(john+am2604@foo.com)や、異なるパスワード、パスキー、そして2段階認証を使うべきだね(自分の身元を使うときは、金融情報だけじゃなくて)。

プラスアドレスのトリックは、明らかに君を守るためには役に立たないよ。代わりに、サインインする場所ごとにユニークなメールを作るために、simpleloginのようなサービスを使った方がいい。

適切なメールエイリアスを使うことをお勧めするよ、プラスアドレスじゃなくて。DuckDuckGoは、Bitwardenに統合できる無料のエイリアスを提供してるし、iCloud+を使ってるならAppleの「メールを隠す」機能($0.99/月)がいいよ。Addy.ioやSimpleLoginが最高で、PGP暗号化を使って他の人が君のメールにアクセスできないようにするけど、フル機能を使うには有料だね。> IABのような組織は、広告主がユーザーのプライバシーの希望に関係なく、メールアドレスを正規化して相関させたり追跡したりすることを求めている。 https://www.privacyguides.org/en/email-aliasing/#over-plus-a...

でも、アドレス指定はうまくいかないことが多いんだよね。ひどく書かれたウェブサイトが多くて、拒否されちゃう。

ある時、ウェブサイトで「パスワードを忘れた」をクリックしたら、パスワードがメールで送られてきた。それ以来、オンラインサービスを信用してない。

それに、アドレスの工夫(Gmailの可動期間など)は、理由があってますます無意味になってきてる。スパマーやハッカーの下位x%を排除できるかもしれないけど、ますます巧妙な詐欺にはあまり効果がない。+の前の部分が結局受信トレイに入ってしまうなら、それは剥がされて使われるだけだし。スパマーは、いくつかの漏洩データを見て、bob+trello@example.com、bob+spotify@example.com、bob+chase@example.comのようにして、他のサイトへのスパムをターゲットにするか、bob@example.comにメールを送る可能性が高い。数年前、自分のドメインでテストをしたことがあって、ユニークなエイリアスを作ったんだ。例えば、steve.smith+iawer@example.com、bob.jones+wpoqe@example.com。そうしたら、steve.smith@example.comやbob.jones@example.comにメールが届き始めたんだ。そんなメールアドレスは今までどこでも使ったことがなかったのにね。他の人たちが言ってるように、pwgen -s 16を使ってユニークなメールを作って、同じようにランダムなパスワードと一緒にパスワードマネージャーに保存する方がいいよ。(はい、これがユニークなメールアドレスサービスが提供してることだね。)それに、多くのサービスやサイト、プロバイダーは、ユーザー名が不変だと単純に仮定してる。$DEITYが、将来的にメールアドレスを変更しなきゃいけないなんてことが起こるなんて、考えたくもないよ。

何年も、ネット上での個人情報については控えめにしようと頑張ってきたんだ。新しいアカウントは作らないし、メールアドレスでのクロスログインもしないし、電話も使わない。完璧ではないけど、便利さよりプライバシーを優先することが多いかな。でも、政府や社会全体が「デジタル化」を進めてきてるのが現実。うまくいくときはいいけど、俺にとっては新しいサービスが増えるたびにデータが漏れるリスクが増えるって感じる。まだ多くの情報漏洩が起きているのは、セキュリティが難しくて高くつくからだと思うし、企業は顧客からの反発がない限り、データが悪用されてもほとんど心配しないからだよね。これっておかしいと思う。私たちがプライベートなデータを渡すとき、それはすごく価値のあるものを渡してるわけだから。もしその価値を軽視しても基本的に何の影響もないなら、注意を払うインセンティブが低くなるよね。データを持っている企業に対して責任を持たせる仕組みが必要だと思う。顧客データを適切に守らないことは罰せられるべきだし、影響を受けた人には補償を受ける権利が与えられるべきだよね。もちろん、そんなことは実現しないだろうけど。実際に実行するのは難しいし、そもそも可能かどうかも怪しい。でも、データを持っている企業ができるだけ注意を払うインセンティブがない限り、緩い状況は続くと思う。

もしビジネスが正当にその情報を必要としているなら、漏れを100%防ぐのはほぼ不可能じゃない?データがある限り、技術的手段でも非技術的手段でも侵害される可能性があると思う。私の意見では、主な問題は(1)ビジネスが必要ない情報を集めて保持していることと、(2)ビジネスが大きくなりすぎて、デフォルトで主要なターゲットになってしまうことだと思う。無意味なデータ収集が抑制されて、小さなビジネスがたくさんあれば、この問題はもっと局所的で対処しやすくなるはず。でも、もちろんこれは夢のまた夢だね。

新しいアカウントは作らないし、メールアドレスでのクロスログインもしない。正直、これが唯一の長期的な戦略だと思う。実際、すべてのフォーラムやウェブサイトが異なる国にホストされていて、異なる法的管轄がある真のグローバルインターネットでは、すべてのプレイヤーが責任を持って行動することを期待するのは妄想に過ぎない。現実はそうじゃないし、そうなることもない。個人はオンラインプライバシーの権利を持つべきだ。それは、プロキシのメールアドレス、プロキシの電話番号、プロキシの物理的住所、さらにはプロキシの身分(名前や苗字)を持つ権利を意味する。政府がそれを早く受け入れれば受け入れるほど、良くなると思う。うまくやれば、法的手続きのために当局が身分を再構築するシステムとも矛盾しない。何もしなければ、詐欺や恐喝は野火のように広がり、プロキシの匿名性は制御外で発生するだろうね。

問題は、コンピュータがすべてをどれだけ簡単にしてくれるか、そしてプロセスがコンピュータとどれだけスケールするかだよね。昔はデータを盗むためには、物理的に侵入したり、潜入したりして、ファイルをひっかき回してコピーするか、直に持ち出す必要があった。ブリーフケースに入れて?そんなことできるファイルの数はどれくらい?でも、データベースなら、コピーコマンドを実行してアップロードするか、持ち出すだけで済む。ソフトウェアの脆弱性は常に存在するし、コンピュータプロセスには本質的なレートリミッターがないから、遠隔からでも操作できるんだ。

データ保持者に対する説明責任を確立する必要がある。 これは本当で、変わるべきだよね。今のインセンティブは歪んでるから、世界のGDPのかなりの部分が広告技術に依存してる。

インドみたいな場所では、「デジタル推進」がすべてが携帯番号に基づいていて、安全性や規制が最悪な状況で、二重の打撃なんだ。推進は100%、安全策はゼロ(もしくはマイナス)。さらに悪いのは、すべての政策や規制の推進がただの紙の上の話で、実際に効果があっても、結局は元のまま — 人々に力はゼロ、他者への説明責任もゼロ、違反者への罰もマイナス(彼らは違反者とも見なされない)。集団訴訟のような法的枠組みもない。つまり、「紙の規制者」を超えて見ると(そんなに難しくないけど)、実際には何もないんだ。問題は、これに対抗することもできないし、オプトアウトもできないってこと。ここではね。カフカ的な感じで、90%以上の仲間が何を言ってるのか分からないから、声を上げることもできない。運が良ければ、反国家的だとレッテルを貼られないだけ。

データ保持者に対する説明責任を確立する必要がある。 顧客データを適切に保護しないことは、処罰されるべきで、影響を受けた人々には補償を受ける権利が与えられるべきだよね。企業を責任追及できる最終的な存在は政府だけど、政府自体が市民のプライベートデータに無頓着なんだ。私はセキュリティクリアランスを得るために政府の要求でバックグラウンドチェックを受けたけど、そのデータが盗まれたんだ。 https://en.wikipedia.org/wiki/2015_Office_of_Personnel_Manag... 私のデータが漏洩したことに対する「補償」は、1年間の無料クレジットモニタリングだった。でも、当然、身分盗用に興味がある犯罪者は1年後も攻撃を続けるだろうね。処罰について言えば、OPMのディレクターであるキャサリン・アルチュレタやCIOのドナ・シーモアは、ただ辞任するのではなく、刑務所に入れられるべきだったと思う。でも、それが何かを変えるとは思えない。政府がもっとプライベートデータを集めたがる未来のシナリオはまだまだあるだろうし、フロックカメラやTSAの空港スキャン、インターネットアクセスの年齢確認の顔スキャンとかね。

誰も迫害しないようにしよう。

3ヶ月くらい前にまさにその問題に直面したよ。ある政府の部門がハッキングされて、私のメールアドレスが他の数万のユーザーと一緒に公開されちゃった。それ自体もひどいことだけど、その部門は約2ヶ月前に漏洩を知っていて、さらに悪いことに、2025年6月に漏洩があったことに気づいていなかったんだ。ここは100%同意するよ。問題なのは、企業が失敗したときに厳しい罰則を求めるのは政府なのに、政府自身は同じレベルの監視や罰を受けたくないってことだね。なんとも皮肉な話だ。

最近は他人のデータを手榴弾のように扱ってるよ。例えば、ちょっと宣伝になるけど、Hockeytasticってアプリを作ってるんだ。これはアイスホッケーのスティックハンドリングアプリで、息子が数ヶ月使ってるんだ。エンジンはしっかりしてるけど、見た目がひどかった。でも、コーチにアプリストアに出してサブスクリプションを売るように言われたから、きれいにしてデータベースを作って、いろいろ保存しないといけなかった。で、GoogleやAppleとやり取りしてて、実際には識別できるものを保存する必要がないことに気づいたんだ。保存する唯一の識別子はApple IDとGoogle IDだけで、それを盗んでからGoogleやAppleをハッキングしない限り、全く無意味だからね。メールアドレスや名前、住所は一切保存してない。そうしたいんだ。もしデータが漏洩したら、ハッカーが見るのはコナー・マクデイビッドやネイト・マッキノン、その他の有名なNHL選手の名前がたくさんあるだけだよ :) もっと多くの企業が個人データを有害なものとして扱えば、漏洩の問題は減ると思うけど、実際の仕事ではマーケティングの人たちが常にできるだけ多くのデータを取りたがるのを見てるよ!

そうなればいいんだけど、違反してもほとんど罰がないから、できるだけデータを集めて高く売る方がずっと儲かるんだよね。データを保存するリスクを大きくすれば、企業もデータを手榴弾みたいに扱うようになるはず。

アプリがGoogleやAppleのIDを保存する必要があるのは、データをローカルではなくクラウドに保存するからなの?

サプライズを台無しにしたくないけど、これからもっとひどくなるよ。理由は「スロッパー」。セキュリティに関わったことがある人なら、スロッパーの仕組みがどれだけ危険か分かると思う。「著者を信頼します」の「はい」ボタンが地獄の扉を開くんだ。

私はメール用にキャッチオールのカスタムドメインを持ってるんだけど、どこかでアカウントを作るときは@my-domain.comを使ってる。漏洩してるメールがあるかどうか、どこかのサービスで調べられる?

それこそが「Have I Been Pwned」の目的だよ。 https://haveibeenpwned.com/

いつものことだけど、「データを少なく集める」って答えは絶対に出てこないよね。それが唯一のまともなアプローチだと思う。私もそうしてるけど、ソフトウェアのユーザーのことを大事に思ってるし、彼らの個人情報でお金を稼ごうとは思ってないからね。

なんかすごく無関心に聞こえるかもしれないけど、確かに誰かにとっては大きな頭痛の種なんだろうな…私はミレニアル世代で、今までの人生で何百回もデータが漏洩したって言われてきた。だけど、その時に私ができることは何もなかったし、実生活に悪影響があったこともない。全く。10年前にエクイファックスの漏洩について話してた時、90%以上の人が日常的に身分盗用に悩まされるようになるって言われてたけど、私にはそんなことなかった。要するに、HNみたいなオタクコミュニティがこの話題に一致してるのは理解してる—データ収集は悪、データ漏洩は悪、わかるよ。でも、実際にそれが重要なの?私たち全員が、数十年にわたってテックジャイアンツにデータを収集されてきたけど、私もリアルで知ってる誰もが、その収集やデータ漏洩によって悪い影響を受けたことはない。何年も前に買ったインディーの靴のサイトから、健康保険会社まで、全てのウェブサイトが私のデータを漏洩させてきたけど、実生活で指摘できるような影響は全くない。だから、みんなが同じ意見を唱えてるこの半ば宗教的な教義に対してちょっと懐疑的になってきてる。皇帝はもしかして裸なのか?みんなが「データ漏洩」を恐れてるのは、私たちより賢そうな人たちにそう言われたからなのかな?あなたたちの美容師のいとこの元旦那の犬に何が起こったかの怖い逸話を教えてほしい—引用もないし、私が確認できないような話だけど、「うわー、データ漏洩は悪い」って理由で受け入れなきゃいけないやつ—それがないと、私の脳のプロパガンダの塗装がちょっと薄くなってきてるんだよね。[0] (パスワードマネージャーを使ってるから、ログイン間でパスワードを共有してないことは保証されてる。だから、データ漏洩の通知に対してできることは、漏洩したアカウントのパスワードを変更することだけなんだ。でも、それは彼らが私のパスワードを平文で保存してた場合だけだよね?私のデータが外に出てることについては何もできないし、そのアカウントを閉じるのも遅すぎる。)

あなたの言う通りだと思う。それが負け戦の理由だね。結果には幅がある。最悪の結果は深刻だけど、稀だよね。ほとんどの人にとって最も深刻な結果は不正なクレジットカードの請求で、せいぜい面倒なだけ。最も深刻な結果はあまりにも一般的ではないから、何か変化を促すことはないし、たとえあったとしても、問題の根本を解決するのではなく、被害を修復することに焦点が当たる(その詐欺が最初にどうして起こったのか)。

あなたに悪いことが起こらなかったから、だから悪いことは起こらない?