MyFitnessPalがハッキングされた理由とは?1億5千万アカウントの漏洩を解説
2018年、MyFitnessPalは歴史上最大規模のデータ漏洩の一つに見舞われました。1億5千万のアカウントが危険にさらされました。ここでは、何が起こったのか、どのデータが漏洩したのか、現在安全なのか、そして健康データのプライバシーがなぜこれまで以上に重要なのかを詳しく解説します。
2018年2月、MyFitnessPalのシステムに侵入者が入り、約1億5千万ユーザーのアカウントデータが盗まれました。ユーザー名、メールアドレス、ハッシュ化されたパスワードがすべて危険にさらされたのです。当時、この事件は歴史上最大のデータ漏洩の一つとされていました。会社は2018年3月にこの漏洩を発見したため、攻撃者は誰も気づかないまま約1ヶ月間ユーザーデータにアクセスできていました。
もし2018年3月以前にMyFitnessPalを使用していたなら、あなたのデータもこの漏洩に含まれている可能性が高いです。また、カロリー追跡アプリがなぜこれほど大規模なハッキングの標的になったのか疑問に思っているなら、その理由は健康やフィットネスアプリがあなたのデータをどのように扱っているかについての不快な真実を明らかにします。
この記事では、何が起こったのか、どのデータが漏洩したのか、漏洩しなかったデータ、MyFitnessPalが現在安全かどうか、そして健康データのプライバシーがどのように信頼できる栄養アプリを選ぶ際の決定要因となるかを詳しく説明します。
MyFitnessPalのデータ漏洩で何が起こったのか?
以下は、事件のタイムラインです。
漏洩:2018年2月
2018年2月末、無許可の第三者がMyFitnessPalのユーザーアカウントデータにアクセスしました。侵入の正確な手法は公にされていませんが、攻撃者は約1億5千万ユーザーのアカウント情報を含む膨大なデータセットを抽出することに成功しました。
当時、MyFitnessPalはアンダーアーマーに所有されており、2015年に4億7500万ドルで買収されていました。アンダーアーマーはMyFitnessPalのインフラのセキュリティを担当していました。
発見:2018年3月25日
MyFitnessPalのセキュリティチームは、2018年3月25日に漏洩を特定しました。侵入から約4週間後の発見でした。この規模のデータ漏洩において、発見までの4週間のギャップは珍しくありませんが、攻撃者は数週間にわたりユーザーデータに気づかれずにアクセスできていたことを意味します。
公開発表:2018年3月29日
アンダーアーマーは、2018年3月29日に漏洩を公に発表しました。発見からわずか4日後のことです。会社は影響を受けたユーザーにメールとアプリ内メッセージで通知し、すべてのアカウントに対してパスワードのリセットを要求しました。
その後の影響
アンダーアーマーの株価は、発表後数日で約3.8%下落しました。この漏洩は、アンダーアーマーのデジタルフィットネス戦略や、大規模なユーザーデータベースの維持に関する懸念を高める要因となりました。2年後、アンダーアーマーはMyFitnessPalをフランシスコ・パートナーズに3億4500万ドルで売却しました。これは元の購入価格よりも1億3000万ドル少ない金額です。
MyFitnessPalのハックで漏洩したデータは?
何が危険にさらされたのか、何がそうでなかったのかを理解することは、リスクを評価する上で重要です。
漏洩したデータ
- ユーザー名。 MyFitnessPalにログインするために使用されるアカウント名。
- メールアドレス。 各アカウントに関連付けられたメールアドレス。
- ハッシュ化されたパスワード。 パスワードは平文で保存されておらず、bcryptという強力なハッシュアルゴリズムを使用してハッシュ化されていました。ただし、一部のパスワードはSHA-1という弱いアルゴリズムでハッシュ化されており、クラックされやすい状態でした。
漏洩しなかったデータ(アンダーアーマーによる説明)
- 支払い情報。 アンダーアーマーは、支払いカードのデータは別途収集・処理されていたため、影響を受けなかったと述べています。
- 政府発行の識別子。 社会保障番号、運転免許証番号などはMyFitnessPalに保存されておらず、したがって漏洩しませんでした。
- 詳細な健康データ。 アンダーアーマーは、漏洩はアカウントの認証情報に関するものであり、アプリ内に保存されている食事日記データ、体重記録、栄養情報は含まれていないと述べています。
漏洩が「ただの」メールとパスワードであっても重要な理由
漏洩を「ただの」ユーザー名とパスワードとして軽視するのは簡単ですが、この種のデータ漏洩の現実的な影響は重大です。
- クレデンシャルスタッフィング攻撃。 多くの人が複数のサービスでパスワードを使い回します。ハッシュ化されたパスワードをクラックした攻撃者は、同じメールアドレスとパスワードの組み合わせを使って他のアカウント(メール、銀行、ソーシャルメディア、ショッピングなど)にアクセスできる可能性があります。
- フィッシングキャンペーン。 1億5千万のメールアドレスが健康やフィットネスアプリに関連していることが確認されているため、攻撃者は健康、フィットネス、サプリメント、ダイエットに関連するフィッシングメールのターゲットリストを持っていました。これらのメールは、受取人がカロリー追跡アプリを使用していることを知っているため、非常に説得力がある可能性があります。
- ダークウェブでのデータ販売。 盗まれたMyFitnessPalのデータはダークウェブのマーケットプレイスに出回りました。2019年には、MyFitnessPalのデータを含む漏洩したデータベースのコレクションが約20,000ドルの暗号通貨で販売されていました。
なぜMyFitnessPalは標的になったのか?
カロリー追跡アプリは、銀行や小売業者と比べるとハッカーにとっては異常な標的のように思えるかもしれません。しかし、MyFitnessPalが攻撃者にとって魅力的であった特定の理由があります。
ユーザーベースの規模
当時、MyFitnessPalは1億5千万以上のアカウントを持ち、消費者向けアプリの中で最大のユーザーデータベースの一つでした。クレデンシャル盗難に焦点を当てた攻撃者にとって、膨大なメールアドレスとパスワードの組み合わせは、高価値の標的となりました。
健康データは独自の価値を持つ
健康やフィットネスデータは、データ経済においてますます価値が高まっています。人々が何を食べているか、どれだけの体重があるか、フィットネスの目標や食事パターンに関する情報は、ターゲット広告、保険のプロファイリング、ソーシャルエンジニアリングに利用される可能性があります。アンダーアーマーは、2018年の漏洩で食事日記データが影響を受けなかったと述べていますが、大規模な健康データリポジトリの存在自体がプラットフォームを標的にします。
セキュリティは優先事項ではなかった
アンダーアーマーはスポーツウェア会社であり、テクノロジーやセキュリティの会社ではありませんでした。2015年にMyFitnessPalを買収した際、ユーザーベースの拡大とアプリをアンダーアーマーのフィットネスエコシステムに統合することに焦点が当てられていました。セキュリティインフラへの投資は優先事項ではありませんでした。
一部のパスワードにSHA-1ハッシュが使用されていたことは、重要な詳細です。SHA-1は2018年の漏洩の数年前から暗号的に弱いと見なされていました。ベストプラクティスでは、bcryptや同様の強力なハッシュアルゴリズムが推奨されていました。MyFitnessPalの一部のパスワードがSHA-1でハッシュ化されていた事実は、セキュリティのアップグレードが優先されていなかったことを示唆しています。
MyFitnessPalのセキュリティは漏洩以降改善されたのか?
これは、現在のユーザーと潜在的なユーザーが最も知りたい質問です。短い答えは、MyFitnessPalは改善を行ったが、アプリの所有履歴とビジネスモデルには依然として疑問が残るということです。
漏洩後の変更点
2018年の漏洩以降、MyFitnessPalはいくつかのセキュリティ改善を実施しました:
- 影響を受けたすべてのアカウントに対するパスワードのリセットを義務付け
- 無許可のアクセスに対する監視の強化
- パスワードのための強力なハッシュアルゴリズムへの移行
- 二要素認証のオプション追加
変わらない点
これらの改善にもかかわらず、いくつかの構造的な懸念が残っています:
- 健康データに対するエンドツーエンドの暗号化なし。 MyFitnessPalは食事日記データ、体重記録、栄養情報をサーバーに保存しています。このデータはエンドツーエンドで暗号化されておらず、会社(およびサーバーにアクセスする攻撃者)はそれを読むことができます。
- 異なる優先事項を持つ新しい所有者。 2020年にMyFitnessPalを買収したプライベートエクイティファームのフランシスコ・パートナーズは、収益生成に焦点を当てています。このモデルでは、セキュリティへの投資が他の優先事項と競合します。
- 広告主駆動のデータ収集。 MyFitnessPalの無料プランは広告によって支えられています。広告支援のアプリは、ターゲット広告を提供するためにユーザーデータをできるだけ多く収集するインセンティブがあります。データ収集が増えると、攻撃のリスクが高まり、潜在的な漏洩時に危険にさらされるデータも増えます。
- 公的なセキュリティ監査なし。 MyFitnessPalは独立したセキュリティ監査の結果を公開していません。ユーザーは、第三者による検証なしに、会社のセキュリティ改善についての主張を信頼しなければなりません。
健康データプライバシーが重要な理由
食事、体重、身体測定、フィットネス目標、食事パターンをアプリで追跡している場合、詳細な健康プロファイルを作成しています。このデータは、多くの人が認識している以上に敏感なものです。
健康データは非常に個人的
あなたの食事日記は、カロリー数以上の情報を明らかにします。医療条件(糖尿病管理や腎疾患のための食事追跡)、メンタルヘルスのパターン(過食、制限、感情的な食事)、生殖状況(妊娠に伴う食事の変化)、宗教的慣習(断食パターン)、社会経済的情報(食の選択は収入レベルを反映)などが含まれます。
これは漏洩、データブローカーへの販売、または保険のプロファイリングに使用されることを望まないデータです。
健康データプライバシーは増大する法的懸念
健康データプライバシーに関する規制は、世界中で厳しくなっています。EUのGDPRは健康関連データに対して強力な保護を提供します。アメリカでは、HIPAAが医療記録を保護していますが、MyFitnessPalのような消費者アプリに自発的に入力されたデータは対象外です。これにより、非常に敏感な健康情報が医療記録よりも法的保護が少ないギャップが生じています。
ビジネスモデルが重要
企業の収益モデルは、データの扱いに直接影響します。広告収入に依存するアプリは、できるだけ多くのユーザーデータを収集し、広告パートナーと共有する経済的インセンティブがあります。一方、サブスクリプションに依存するアプリは、ユーザーデータを保護する経済的インセンティブがあります。なぜなら、収益はユーザーの信頼から得られるからです。
この違いは、健康アプリを選ぶ際に重要です。
栄養アプリのデータセキュリティを評価する方法
MyFitnessPalの漏洩があなたに健康データの保存先を再考させたなら、代替案を評価する際に注目すべき点は以下の通りです。
重要なセキュリティとプライバシーの質問
| 要素 | 注目すべき点 | レッドフラッグ |
|---|---|---|
| ビジネスモデル | サブスクリプションベース、広告なし | データ共有のある広告支援の無料プラン |
| データ暗号化 | 健康データのエンドツーエンド暗号化 | 暗号化なし、またはサーバー側のみ |
| プライバシーポリシー | 明確で具体的、読みやすい | 「パートナー」や「第三者」に関する曖昧な表現 |
| データ削除 | すべてのデータを永久に削除するのが簡単 | 明確な削除プロセスなし |
| 第三者との共有 | 最小限または共有なし | 広告主やブローカーとデータを共有 |
| セキュリティ監査 | 定期的な独立したセキュリティ監査 | 公開された監査情報なし |
| 漏洩履歴 | クリーンな記録または過去の事件について透明性がある | 漏洩の履歴があり、開示が不十分 |
| データの所在地 | 強力なプライバシー法のある地域にサーバー | データの所在地に関する情報なし |
Nutrolaのデータプライバシーへのアプローチ
Nutrolaは、月額€2.50からのサブスクリプションモデルで構築されており、すべての価格帯で広告はありません。これは、MyFitnessPalの無料プランのような広告支援アプリとは根本的に異なります。広告がない場合、広告目的でユーザーデータを収集するインセンティブはありません。あなたの食事日記、体重記録、栄養データは、あなたのために存在するものであり、広告主のためにプロファイリングするためのものではありません。
Nutrolaは、ユーザーデータを第三者に販売しません。アプリの収益は完全にサブスクリプションから得られ、ビジネスモデルはユーザーのプライバシーを重視しています。ユーザーを幸せにし、信頼を得ることで収益を上げる企業は、データを保護する理由があります。一方、ユーザーデータを広告で収益化する企業は、逆の方向にインセンティブが働きます。
比較:MyFitnessPalとNutrolaのプライバシーと機能
| 要素 | MyFitnessPal | Nutrola |
|---|---|---|
| 大規模なデータ漏洩の履歴 | はい(1億5千万アカウント、2018年) | いいえ |
| 広告支援の無料プラン | はい(多くの広告) | いいえ(すべてのプランで広告なし) |
| 収益モデル | サブスクリプション + 広告 | サブスクリプションのみ |
| 価格 | 無料(制限あり)/ 年間$79.99 | 月額€2.50から |
| 追跡される栄養素 | 約6種類 | 100以上 |
| 食品データベース | 1400万以上のクラウドソースエントリー | 180万以上の検証済みエントリー |
| AI写真ログ | いいえ | はい |
| 音声ログ | いいえ | はい |
| バーコードスキャン | プレミアムのみ | はい(すべてのユーザー) |
| Apple Watch + Wear OS | 基本的なApple Watchのみ | 両方対応 |
| レシピインポート | はい | はい(完全な栄養分析付き) |
| 対応言語 | 20以上 | 9 |
MyFitnessPalの漏洩にデータが含まれていた場合、どうすればよいか?
2018年3月以前にMyFitnessPalアカウントを持っていた場合、あなたのデータはおそらく危険にさらされていました。まだ行っていない場合、以下の手順を実行してください:
- MyFitnessPalのパスワードを変更してください。漏洩以降に変更していない場合は、強力でユニークなパスワードを使用してください。
- 他のサービスのパスワードも変更してください。MyFitnessPalアカウントと同じメールアドレスとパスワードの組み合わせを使用している場合、これは最も重要なステップです。
- MyFitnessPalおよびサポートしている他のサービスで二要素認証を有効にしてください。
- パスワードマネージャーを使用して、各サービスのユニークなパスワードを生成し、保存してください。これにより、一つのサービスの漏洩が他のアカウントに影響を与えないようにできます。
- haveibeenpwned.comを確認して、あなたのメールアドレスがMyFitnessPalの漏洩や他の既知のデータ漏洩に含まれていたかどうかを確認してください。
- フィットネス、ダイエット、サプリメント、健康アプリに関連する未承諾のメールには懐疑的になってください。 あなたのメールアドレスは、栄養追跡に興味があることを知っている攻撃者の手に渡っています。
よくある質問
MyFitnessPalはいつハッキングされましたか?
MyFitnessPalは2018年2月にハッキングされました。漏洩は2018年3月25日に発見され、2018年3月29日に公に発表されました。約1億5千万のユーザーアカウントが危険にさらされ、当時の歴史上最大のデータ漏洩の一つとなりました。MyFitnessPalは漏洩時にアンダーアーマーに所有されていました。
MyFitnessPalのハックで何が盗まれましたか?
漏洩では、約1億5千万のアカウントのユーザー名、メールアドレス、ハッシュ化されたパスワードが危険にさらされました。一部のパスワードはbcrypt(強力なアルゴリズム)でハッシュ化されていましたが、他のものはSHA-1(弱いアルゴリズム)を使用していました。アンダーアーマーは、支払い情報や詳細な健康データ(食事日記、体重記録)が影響を受けなかったと述べています。
MyFitnessPalは2026年に安全に使用できますか?
MyFitnessPalは2018年の漏洩後にセキュリティ改善を実施しましたが、強力なパスワードハッシュやオプションの二要素認証が追加されました。しかし、アプリは現在プライベートエクイティファームに所有されており、無料プランからの広告収入に依存しているため(データ収集を促進するインセンティブがあります)、あなたが「安全」と考えるかどうかは、あなたの個人的なリスク許容度と栄養データの重要性によります。
MyFitnessPalは他にハッキングされたことがありますか?
2018年の漏洩は、MyFitnessPalに影響を与えた唯一の公に確認された大規模なデータ漏洩です。しかし、2018年の漏洩データはその後ダークウェブのマーケットプレイスで販売され、数年間にわたって流通したクレデンシャルダンプコレクションに現れました。
自分のMyFitnessPalデータが漏洩したかどうかはどうやって確認できますか?
2018年3月以前にMyFitnessPalアカウントを持っていた場合、あなたのデータはほぼ確実に影響を受けています。この漏洩は、当時存在していた約1億5千万のアカウントのほぼすべてが危険にさらされたためです。haveibeenpwned.comを確認して、あなたのメールアドレスが漏洩に含まれていたかどうかを確認できます。MyFitnessPalは影響を受けたユーザーにメール通知を送り、パスワードのリセットを要求しました。
どのカロリー追跡アプリが最もプライベートで安全ですか?
サブスクリプションベースのビジネスモデルで広告がないアプリを探してください。これらはユーザーデータを収集し、収益化するインセンティブが少ないためです。Nutrolaは、月額€2.50からのサブスクリプションモデルで、すべてのプランで広告なしで運営されています。これにより、広告主向けのデータ収集が行われません。Nutrolaは、AIを活用した食品ログ(写真、音声、バーコード)、180万食品の検証済みデータベースからの100以上の栄養素の追跡、Apple Watch、Wear OS、9言語のサポートを提供しています。
