OnlyFansの3億4000万件流出は不正侵入ではない、それでも危うい

OnlyFansの利用者3億4000万人分の個人記録だとうたうデータが、よく知られた流出フォーラムで、ビットコイン1枚に満たない値で売りに出されている。出品はメールアドレス、電話番号、本名、決済カードの下4桁、そしてこの種のプラットフォームで最も重い意味を持つ項目、すなわち各プロフィールにひも付いたSNSアカウントを差し出すという。

ほかのサービスなら、ありふれたプライバシーの問題で済む。OnlyFansでは事情が鋭くなる。プラットフォームと利用者の関係はすべて、ある人物の法的な身元と、課金の壁の向こうでの行為とを隔てる「壁」の上に成り立っている。本名と電話番号をOnlyFansのアカウントに結びつけるファイルは、まさにその壁を崩すために作られた道具であり、本物かどうかにかかわらず、まさにそれを求める買い手に向けられている。

売り手はアカウントごとに一件の記録を挙げる。識別子、ユーザー名、フルネーム、登録日、メール、電話、フォロワー数といいね数、投稿した作品の数、ファンか配信者かを示す印、そして他ネットワークのプロフィールへのリンクである。全部で0.313ビットコイン、およそ7万6000ドルを要求している。こうして売られると、それは表計算というより標的の一覧に見える。ひも付けられたプロフィールの欄こそが、データベースを武器に変える。配信者にとって、自分のOnlyFansアカウントを認証済みのInstagramに結びつければ、仕事の土台である切り分けが崩れてしまう。

OnlyFansは、そんな事実はないと述べる。「これらの報道は事実ではない」と、最初に出品を報じたセキュリティ媒体に広報担当者は答えた。数字そのものも疑いを誘う。3億4000万は登録利用者のほぼ全体に近く、本物の侵入ではめったに残らない、あの丸い総数だ。侵入を否定する最も強い根拠は、売り手自身から出た。接触すると、データはOnlyFansから取り出したものではないと認めたのである。Twitter、Instagram、Spotifyなど他のプラットフォームの古い流出を、すでに公開されているプロフィール情報と突き合わせて寄せ集めたという。これは寄せ集めであって、侵入ではない。

この区別が話のすべてであり、闇市場はその区別をぼかすことで成り立っている。本物の流出は、世間が決して手にしていなかったデータを抜き出す。寄せ集めは、すでにどこかで流出したデータを並べ替え、新しく恐ろしい看板を掛けるだけだ。「OnlyFans」はフォーラムで売れる。「5年前のTwitterの記録から作った一覧」では決して売れないのに。ときおり話題になる、数十億件規模とされるWhatsAppやGmailの「ハック」も同じ仕組みで、ほとんどの場合は使い回しのログイン一覧だと判明する。

それでもファイルが無害になるわけではない。ここでの武器は目新しさではなく、結びつけだ。ある場所ではすでに公開された名前、別の場所では流出したメールは、単体では大した意味を持たない。OnlyFansのアカウントに結びつけば、それは日常の身元から成人向けアカウントへと至る地図になる。その地図こそ、本物の細部を引いて信じ込ませる性的脅迫の文面、配信者の入金口座を狙うフィッシング、そして多くの人がすでに受けている付きまといやなりすましの材料になる。今や攻撃者は、選別の手間さえ省ける。

InstagramやXのアカウントをOnlyFansのプロフィールに一度でも結びつけたことのある人は、ファンでも配信者でも、どの市場にいても、その結びつきがすでに見つけ出せ、いまや売り物に箱詰めされているかもしれないと考えるのが安全だ。専門家の助言は地味である。あなたのOnlyFansでの活動を「知っている」ように見える連絡は、証拠ではなく圧力の手口として扱う。脅しの金は決して払わない。流出したパスワード一つでは開けないよう、二段階認証を入れておく。出品はなお残り、研究者は標本を調べて、どれだけが本物で、使い回しで、あるいは作り物かを測っている。値段が実際にかかっているのは、その一点だけだ。フォーラム上の有名な名前が、その裏のデータより高く売れるかぎり、次の「大流出」は、すでに直前の十件の残骸から組み立てられている。