TorrentFreak

ファイル共有サービスiMeshを利用していたおよそ5100万人の個人情報が、インターネット上に流出している。iMeshはかつて音楽産業団体のRIAAから訴訟を起こされ、その後、公認を得たファイル共有サービスに転換していた。iMeshのサービスを運営していたのは、Bearshare、Lphant、ShareazaのブランドでもP2Pサービスを提供していた胡散臭いグループであった。彼らはLphant、Shareazaのブランドを非常に不審な状況で取得していた。

ファイル共有テクノロジーが勃興期にあった2003年、さまざまなプラットフォームが次のNapsterになろうとしのぎを削っていた。そのなかにイスラエルのiMeshがあった。開始から4年目、当時としてはベテランであった。

その年の9月、ファイル共有ソフトにいらだちを募らせていたRIAAは、iMeshに対し米国で訴訟を起こした。当初、両者は対立していた。RIAAはiMeshを閉鎖させるべきだと主張し、iMeshは何ら悪いことはしていないと開き直った。

しかし、2004年夏、両者は唐突に和解に至った。iMeshはRIAAに400万ドル以上の損害賠償を支払い、そのビジネスを公認をうけて継続することになった。奇妙に思われるかもしれないが、RIAAは彼らがかつて海賊とレッテルを貼った連中にライセンスを与えたのである。

この和解により、iMeshには変更が加えられた。iMeshはネットワーク上の著作権侵害を防止するために、Audible Magicの提供するフィルタリング技術を実装した新しいクライアントをリリースしなければならなくなった。そして2005年10月のiMesh v6がリリースされた。これ以降、RIAAがiMeshの膨大なユーザデータベースにアクセスできたことは疑いない。

しかし現在、そのデータの一部が流出していることが明らかとなった。数週間前、iMeshが突然消滅したのに続いて、LeakedSourceは51,310,759ユーザの情報を含むiMeshのデータベースを入手したと報じた。

「いずれの記録にも、メールアドレス、ユーザ名、パスワード、IPアドレス、国、加入日が記載されている」とLeakedSourceは伝えている。

この情報漏洩は2013年9月に起こったものと見られており、iMeshに参加した55カ国のユーザがリストされている。もっとも利用者が多かったのは米国で、1370万ユーザを数える。

imesh-1

こういった情報漏洩事件ではよくあることなのだが、iMeshのパスワード回りのセキュリティは、非常に残念な状況にあることがわかった。

「パスワードはソルトが加えられ複数回MD5がかけられたうえで保存されていた。『ソルト化』は、扱う数字が大きい場合には復号を指数関数的に難しくする。LinkedInやMySpace(翻訳註:両者とも過去に大規模な情報漏洩事件を起こしている)よりはマシであるが、MD5自体は現代のコンピュータではさほど難しくはない。iMeshが使用していた手法は、3年前とはいえ、時代遅れと言わざるをえない」とLeakedSourceは記す。

さらに悪いことに、多くのユーザはセキュリティ以前のパスワードが多用していたようだ。100万人近くのiMeshユーザが『123456』をパスワードとしており、33万人以上がそれよりは少し長い『123456789』を使用していた。

imesh-pass

iMeshはかつてのファイル共有機能の大部分を失っていたが、それでも新規ユーザを惹きつけるだけの魅力は残っていたようだ。リークによると、RIAA公認のクライアントがリリースされた直後の2006年、iMeshは480万のユーザを新規に獲得している。2011年には940万ユーザ、最後のデータとなる2013年には250万人の新規ユーザを獲得している。

しかし現在、iMeshは突然姿を消してしまった。RIAAとともに(さらには映画共有を制限するためにMPAAとも)10年以上の歳月を歩んできたiMeshは、数週間前、突然閉鎖した。Wayback Machineに残されたアーカイブを見ると、5月5日を最後に途絶えている。そのページには、1500万のライセンスされた曲とビデオへのアクセスが喧伝されていた。

驚くことでもないが、iMeshだけが閉鎖したわけではなかった。時を同じくして、BearShare、Shareaza、Lphantなどのほかのプラットフォームも閉鎖していた。いずれもホームページには同じ閉鎖のメッセージが掲載されていた。いずれも裏でつながり、同じ会社が運営し、同じソフトウェアを使用していたためである。

ファイル共有サービスの喪失をファイル共有ファンが嘆き悲しむのはある種の風物詩であるが、このネットワークがどのように機能しているかを理解していれば、これらのサービスが終了したところで何も感じはしないだろう。もちろん、RIAAと契約しているからという理由ではない。

オリジナルのShareazaLphantプロジェクトはいずれも、iMeshのオーナーであるDiscordia Ltd.からある種の乗っ取りをうけ、今日までその状況は続いていた。オリジナルかつ安全なバージョンのShareazaは、現在もしぶとくSourceforgeで配布されている

自分のデータが漏洩しているか気になる方は、こちらからチェックしてみるといいだろう。

“RIAA-Approved File-Sharing Service Hacked, 51m User Details Leaked – TorrentFreak”

Author: Ernesto / TorrentFreak / CC BY-NC 3.0
Publication Date: May 06, 2016
Translation: heatwave_p2p
Header Image: Jason A. Samfield / CC BY-NC-SA 2.0

iMeshはもともとはIM2Netと言う独自のネットワークで構築されたサーバ・クライアント型のP2Pファイル共有ソフトであった。それがRIAAとの裁判、和解を経て、合法ファイル共有サービスに生まれ変わった。和解後に提供されたサービスは、自由なファイル共有ではなく、DRMがかけられたファイルが流通する有料サブスクリプション型のP2Pファイル共有サービスであった。一時期はそれなりに人気を博したが、昨今のストリーミング型のサブスクリプションサービスの隆盛をうけて、現在は推して知るべしと言う状況なのだろう。

そのiMeshを所有するDiscordia Ltdは、フランスの音楽著作権団体との和解により放棄されたshareaza.comドメインを利用し、Shareazaブランドを乗っ取ることに成功した。乗っ取ったドメイン名を利用し、偽の公式サイトを立ち上げ、そこでShareazaのニューバージョンと称して、インターフェースだけをShareazaに似せたiMeshを配布した。また、旧Shareazaクライアントが、shareaza.comドメインにアップデートを確認する仕様になっていたことを悪用して、クライアント上でもユーザを引き込み、アップデートと偽って旧Shareazaクライアントを削除したうえで、iMeshに置き換えていた。もちろん、旧ShareazaクライアントにあったGnutella、eD2k、BitTorrentプロトコルへの接続機能も失われた。

その偽のShareazaも実質はiMeshであったわけで(もちろん、BearShareもLphantも)、iMeshがなくなるのであれば、同じく消え去る運命にある。とはいえ、あくまでも消え去ったのは偽のクライアントであり、オリジナルのShareaza、BearShareが接続するGnutellaネットワークは、「核戦争をも耐えぬく設計」がなされたネットワークであり、今日も元気に生き続けている。