一部の組織は、排他性を目的として存在しています。招待制で、目立たない存在であり、会員名簿そのものが商品となっているような場所です。
億万長者の投資家であり、PayPal ピーター・ティール氏が設立した限定会員制ネットワーク「ダイアログ」は、その一例であり、その会員には現職のNATO司令官、2人の米国上院議員、および米国財務長官などが名を連ねている。
先週、同社のアプリ配信サイトには、数百人の会員に関する情報が平文のまま掲載されており、右クリックの方法を知っている人なら誰でも閲覧できた。その後、Dialog社はハッキング被害に遭ったと発表した。
会員のファイルに直接アクセスできる登録ページ
このサイトは、高級な交流会を企画するネットワークが主催する今後の集まりを支援するためのスマホアプリを配布するために開設された。訪問者は誰でも、任意のメールアドレスを使って登録することができた。パスワードの入力を求められることはなかった。
メールを送信した後、訪問者はほぼ空っぽの待機ページに遷移し、そこでは約200人の著名人に関する内部ファイルがブラウザに直接読み込まれたと報じられている。これらのファイルは「主要なブラウザすべてに組み込まれているツール」を使って確認できたが、これはブラウザに標準搭載されている開発者ツールを指しているようだ。
これらのファイルは最小限の内容にとどまっていませんでした。アンケートフォームを読み込むと、生年月日、緊急連絡先、携帯電話番号、Dialogが会員に割り当てた政治的傾向、内部ランキングや評価メモ、そして会員のログインに用いられるデジタルキーなどが表示されました。ほぼすべてのケースにおいて、漏洩したデータは、個人の連絡先情報から有効なログイントークンに至るまで、網羅的なものでした。
記録には、現職のホワイトハウス情報当局者、米情報機関で要職を務めた退役将軍、そして大手AI企業2社の国家安全保障政策責任者も含まれていた。また、Dialog社は参加者を非公開で評価しており、参加の可否、座席の割り当て、料金設定の決定にあたっては、参加者の資産や社会的地位を重視している。こうした評価スコアも、公開されていたHTMLファイルの中に含まれていた。
守勢に立たされた対話
ダイアログ社の代表取締役は、このアクセスをハッキングだと述べた
「米国で指名手配中の有名な犯罪者によって実行された。」
この件をスクープした『WIRED』誌は、不正侵入が必要だったという証拠は見つからなかった。実際、ウェブページ上のリンクをクリックしただけで済んだようだ。
これらのフォームは、人気のあるオンラインフォーム作成ツール「Fillout」を使用して作成されました。データは、広く利用されているクラウドデータベースプラットフォーム「Airtable」に保存されていました。Fillout社は、自社のシステムに何らかの侵害があったことは把握していないとし、フォームの設定、接続されたデータソース、およびワークフローの設定については顧客が責任を負うものであると述べました。
Dialog社は、設定ミスのあったページがいつ公開されたのかについては明らかにしていない。つまり、この問題が発見されるまでの間、会員のデータが不確定な期間にわたって誰でも閲覧可能な状態にあった可能性がある。
セキュリティ設定の不備は、アプリケーションセキュリティの主要なリスクをまとめた業界リストである「OWASP Top 10(2025年版)」において、現在第2位にランクインしています。これは2021年の第5位から順位を上げたものです。このカテゴリーには、報告されているセキュリティ上の脆弱性のうち71万9,000件以上が該当しています。
その対処法もごく一般的なものです。必要な機能のみを備えたシステムを構築し、安全に設定することです。
これが私たちにとって何を意味するのか
組織がインシデントをどのように表現するかは、単一の侵害事件にとどまらず、より広範な影響を及ぼします。公開されている情報にアクセスしただけで、それが常習的に「ハッキング」とレッテル貼りをされるようになれば、セキュリティ研究者は、脆弱性が露見したシステムの調査や責任ある開示に消極的になり、設定ミスが長期間にわたり発見されないままになる恐れがあります。
エンドユーザーにとって、この教訓はインターネットが登場する以前から存在していました。もしある組織が、あなたの生年月日、緊急連絡先、そしてその組織にとってあなたがどれほどの価値があるかを示す非公開のスコアを収集しているなら、そのデータがどこに保管されているのかを尋ねてください。「当社のウェブサイト」という答えが返ってきた場合は、さらに質問をすべきですし、「セキュリティには万全を期しています」という回答で終わってしまう場合も、さらに深く問い詰める必要があります。
