パスワードゲート事件のビジネスチャンスと利益連鎖を追跡：中小規模のウェブサイトはユーザーを引き付ける機会を得た

「パスワードゲート事件」は拡大し続けており、ますます多くのウェブサイトが「陥落」リストに加わっています。

12月27日夜、中国コンピュータ学会青年コンピュータ科学技術フォーラム広州支部（以下、CCF広州）が「インターネットユーザーデータ漏洩事件に関する緊急会議」を開催した。会議に出席した16人の専門家は全員一致で、この事件は「中国のインターネット史上最大の情報漏洩」であることに同意した。

こうした「大事件」は1世紀に一度起こることは稀で、常に落ち着きのないインターネットも「抑えきれない」状況になり始めている。多くのウェブサイトがこの状況を利用し、そうした「裸の」ユーザーの情報を入手することに狙いを定めました。以前ウェブサイトに登録されたことのないメールアドレスにも、ユーザーを引き付けるために「名前とパスワードの変更」通知をユーザーのメールアドレスに送信します。

突然の大規模なユーザー情報漏洩に直面し、情報漏洩のあったCSDNや天亜などのウェブサイトは、やや「途方に暮れた」様子だった。

「これまで、フォーラムはセキュリティレベルの要件に含まれておらず、機密データとはみなされていなかった」とCSDNの蒋涛社長は無力感を表明した。彼は今回CSDNが「世論の批判の的」になるとは予想していなかった。

CCF広州の専門家らは、この事件を調査し、調査結果を公表するために、工業情報化部と公安部が主導する特別調査チームを設置するよう求めた。また、個人の権利利益を保護するために、政府は利用者情報や個人のプライバシーを規制する法律や規制を早急に制定すべきだと提言した。

混乱した海域での漁業

「無料」の実際のユーザーデータを見ると、多くのウェブサイトは当然ながら「よだれを垂らしたい」という欲求を抑えることができません。

「一部のウェブサイトは、これらのパブリックライブラリからデータを直接自社のユーザーデータベースにインポートし、ユーザー獲得のためにパスワード変更の通知をユーザーに送信している。一部のウェブサイトは、ユーザーにパスワード変更を通知する機会を利用して、ユーザーをアクティブ化している」と江涛氏は記者とのインタビューで述べた。

インターネット上では、数千万人のユーザーの情報が完全に透明化されています。 「無料」の実際のユーザーデータを見ると、多くのウェブサイトは当然ながら「よだれを垂らしたい」という欲求を抑えることができません。

新浪微博のユーザーによると、地元の生活情報サイト、価格比較・割引サイト、地元の生活サイトなど、いくつかのサイトからも招待メールが送られてきたという。これに対し、58.comのCEOであるヤオ・ジンボ氏は、疑惑を否定し、「58.comは公開データベースのみを比較しています。58.comに登録されたユーザー名とパスワードが公開データベースと同じ場合は、電子メール通知が送信されます。新規ユーザーを引き付ける機会を利用していません」と述べた。

登録ユーザーにメールを送信するだけでも、多くの休眠ユーザーを「目覚めさせる」ことができます。インターネット専門家はテンセントQQを例に挙げ、現在テンセントQQの登録ユーザー数は約10億人、毎日のアクティブユーザー数は約1億6000万人であると述べた。同氏は記者団に対し、テンセントのアクティブユーザー率は非常に高いが、他のウェブサイトのアクティブユーザー率はさらに低いと語った。登録したウェブサイトのユーザー名やパスワードを忘れてしまうユーザーもいるという。

「一夜にして、中小規模のウェブサイトには数千万人の潜在的ユーザーがいる」。ある中小規模のウェブサイトのウェブマスターは記者に対し、こうした広報資料を購入する必要はないが、通常の電子メールマーケティングにはメールボックスを購入するお金が必要だと語った。こうした関心に後押しされて、多くの中小規模のウェブサイトが集まり始めました。

同氏によると、中小規模のウェブサイトの場合、数万人のユーザーがいれば「かなり大規模な」ウェブサイトとみなされ、毎月数千人のアクティブユーザーがもたらすトラフィックで1万元以上の収益が得られる可能性があるという。メールによるユーザー登録率は一般的に1％程度と非常に低いが、今回流出したメールボックスのデータは数百万、数千万にのぼるため、合わせるとかなりの数になる。

中小規模のウェブマスターが恩恵を受けただけでなく、マシンを使って投稿し、ゾンビファンの数を増やしたオンライン水軍企業も大きな恩恵を受けました。 「これらの企業は、登録に機械を使う必要すらなく、これらのアカウントを利用すればいいのです」と中小規模のウェブサイトのウェブマスターであるフェン・ヤオ氏は記者団に語った。

公的情報の漏洩はサイバー犯罪の「波」を引き起こした。フィッシング対策同盟の関係者は、ここ数日フィッシングやスパムの活動が増加していると語った。 「過去2日間でスパムが急増した」と、Tianyaのアカウントが漏洩したユーザーは不満を述べた。

漏洩したウェブサイトへの対応が不十分

情報が漏洩したウェブサイトのうち、ユーザーの登録メールアドレス宛にパスワード変更通知メールを送信していたのはごく少数でした。

名前を明かしたくないCSDNユーザーによると、彼女のCSDNアカウント情報が漏洩した。一連の出来事により、Sohu、Gmail、NetEase、Yahooなどのメールアカウントがすべて「侵害」され、目覚めたときにはログインできなくなっていた。これらのメールアドレスは、彼女がフォーラム、SNS、Alipay（Weibo）、さまざまなショッピングサイトにログインするためのもので、彼女のインターネットライフ全体を「結び付け」ています。さまざまなメールボックス間の接続が複雑だったため、パスワードを取得してもこれらのメールボックスを取得できませんでした。

「オンライン決済用を含め、すべてのクレジットカードを凍結せざるを得ず、資金繰りが厳しくなりました」と彼女は苦笑いした。彼女はこの問題に丸一日を費やした。次に、彼女は電子メールとウェブサイトを再登録し、インターネット生活を始めるのに多くの時間を費やす必要があります。

「これらの企業はユーザー情報を保護するという当然の責任を果たさず、その後の是正作業も不十分だった」と、CCFメンバーで華南師範大学コンピュータサイエンス学院副学長のShan Zhilong氏は記者とのインタビューで述べた。

記者が複数回調べたところ、現在、情報が流出したウェブサイトのうち、ユーザーの登録メールアドレスにパスワード変更通知メールを送信しているのはごく少数だという。ほとんどのウェブサイトでは、アナウンスやサイト内メッセージを通じてのみユーザーにパスワードの変更を通知します。たとえば、Tianya、Renren、Fetion などの Web サイトではログイン ページで通知し、Guokr や Zhihu などの Web サイトでは電子メールで通知します。

ユーザー情報が大規模に漏洩した CSDN および Tianya の場合、電子メールによる通知は適切ではありません。ユーザー名とパスワードが漏洩しているため、多くのメールボックスが理由もなく盗まれ、メールボックスに送信された電子メールの実際の受信者がハッカーである可能性があります。

江涛氏は、CSDNが状況の改善に懸命に取り組んでいることを認めた。 12月21日、CSDNのユーザー情報が漏洩した後、彼は直ちにNetEase、QQ、263、Sinaなどのメールサービスプロバイダーに連絡し、ユーザーにパスワード変更のメールを送信するのを手伝うよう依頼した。

「たとえ会社にメールの代行を依頼したとしても、1台のマシンで1日に送れるメールは数十万通程度です。600万通のメールを送るには1日か2日かかり、当日中に終わらせることはできません。さらに、会社にメールの代行を依頼するのは安全ではありません」と江涛さんは悩んでいた。

「パスワードゲート」漏洩事件の際、「パスワード漏洩クエリ」ウェブサイトが非常に人気を博しました。 Kingsoft NetworkやNebula Sunacなどのセキュリティベンダーも同様のパスワード漏洩照会サービスを開始しているとみられる。

「当社は、漏洩したアカウントとパスワードに対する責任を認めており、これらのデータは当社の商業上の『機密』です。」 江涛氏は、法的には、これらのオンラインアカウント照会プラットフォームは、CSDNや天亜など、情報が漏洩した企業の権利を実際に侵害していると考えている。

関連記事:

CSDN漏洩に関する知られざる事実

CSDN パスワード事件が拡大、Kingsoft 社員が秘密漏洩の全過程を暴露

CSDN漏洩事件が拡大、360は1億件以上のユーザーパスワードが漏洩したと発表

原題：パスワードゲート事件ビジネスチャンス関心連鎖追跡：中小ウェブサイトがユーザー誘致の機会を捉える

キーワード: パスワードゲート、イベント、ビジネスチャンス、メリット、チェーン追跡、中小企業、ウェブサイト、チャンスをつかむ、ユーザーを引き付ける、ウェブマスター、ウェブサイトのプロモーション、お金を稼ぐ