エリートネットワークDialog会員の個人データがサイト誤設定により漏洩、Dialogはハッキングが原因と主張

佐々山 Tacos

2026.06.26

エリートネットワークDialog会員の個人データがサイト誤設定により漏洩、Dialogはハッキングが原因と主張

Malwarebytes Labs – June 25, 2026

招待制の排他的エリートネットワーク「Dialog」の会員に関する情報が漏洩した問題で、Dialog自身はハッキングされたと主張。一方で、これらの情報へアクセスするためにハッキングは不要だったとWIREDは報じている。

Dialogは、PayPalやPalantir（パランティア）の共同創業者として知られる億万長者Peter Thiel氏が20年前に創設した組織。世界各地の政治家や芸能人、資産家などの「エリート」で構成されており、招待制かつ一般の目には触れない形で運営されていた。

しかし先週、Dialogに関するデータをスイスのセキュリティ研究者maia arson crimew氏が発見。このデータには、現会員や元会員とされる人物らの名前やEメールアドレス、電話番号のほか、これまで非公開だった議事録なども含まれていたという。Dialogと関わりを持つとされる人々のリストには、米政府関係者や他国の在米大使、大手企業幹部などが含まれるほか、日本人では「Taro Kono, Digital Minister, Japan. Fmr. Minister of Defense, Japan」の記載がある。

これらの情報は、Dialogのアプリ配信サイトに平文のまま掲載されており、右クリックの方法を知っている人なら誰でも閲覧できる状態だったという。しかしこのリークの後、Dialogはハッキング被害を受けたと発表した。

問題の配信サイトは、今後行われるDialogの交流会をサポートするモバイルアプリの配信目的で設立されたサイト。サイト訪問者は任意のEメールアドレスを使えばサインアップが可能だったとされ、パスワードは不要だったという。

訪問者はEメールを入力すると、訪問者はほぼ空っぽの待機ページに遷移し、そこでは約200人の著名人に関する内部ファイルがブラウザに直接読み込まれたと報じられている。これらのファイルは「主要なブラウザに組み込まれているツール」を使って誰もが確認可能だったと伝えられているが、これはブラウザに標準搭載されている開発者ツールを指しているものとみられている。

これらのファイルに含まれていたアンケートフォームを読み込むと、生年月日、緊急連絡先、携帯電話番号、Dialogが会員に割り当てた政治的傾向、内部ランキングや評価メモ、そして会員のログイン情報として機能するデジタルキーなどが表示されたという。ほぼすべてのケースにおいて、漏洩したデータは、個人の連絡先情報から有効なログイントークンに至るまで、包括的なものだったとされる。

こうした報道を見ると設定ミスが漏洩の原因に思えるが、Dialogはこの内部ファイルへのアクセスを「米国に指名手配されている著名な犯罪者によって実行された」ハッキングだと主張。しかし本件を報じたWIRED紙によれば、これらのファイルにアクセスするのにハッキングのような侵入行為が必要だった証拠は存在せず、Webページ上のリンクを右クリックすることさえできれば誰もが閲覧可能な状態だったという。

問題のアプリ配信サイトのフォームは、人気オンラインフォーム作成ツール「Fillout」を使用して作成されたもの。またデータは、広く利用されているクラウドデータベースプラットフォーム「Airtable」に保存されていたとされる。Fillout社は、自社のシステムに何らかの侵害があったことは把握していないとし、フォームの設定、接続されたデータソース、およびワークフローの設定については顧客が責任を負うものであると指摘している。

Dialogは、設定ミスのあったページがいつ公開されたかについては明らかにしておらず、今回の問題が発見されるまでの間、会員のデータが不確定な期間にわたり誰でもアクセス可能な状態にあった可能性がある。

なお、セキュリティ上の誤設定は、アプリケーションのセキュリティリスクをリストアップしたランキング「OWASP Top 10（2025年）」で2位にランクインするほど一般的なリスクとなっている。

ロシアはCellebriteによるサービス提供終了後も同社ハッキングツールを使用していた：Citizen Labが報告

The Record – June 25th, 2026

ロシア当局は、商用スパイウェアメーカーCellebrite（セレブライト）社により同社製ハッキングツールのサービス提供が停止された後も、このツールを使用できていたという。Citizen Labの研究者John Scott-Railton氏らが報告した。

Cellebriteはイスラエルの商用サーベイランス（監視）企業で、iPhoneやAndroid端末をハッキングしてデータを抽出可能なスパイウェア製品などを提供していることで知られる。ロシア当局は同社の強力なデータ抽出用製品「Universal Forensic Extraction Device（UFED）」を購入したものの、2021年3月に同社は人権上の懸念からロシアへのサービス提供を終了すると発表していた。

しかしCitizen Labによれば、ロシアはその3か月後の6月17日、反体制派の活動家Andrey Pivovarov氏の端末に対してCellebriteのUFEDを使用したとされる。同研究機関は、「UFED製品の機能の多くは、アップデートが終了した後も長期間にわたり動作し続けてきた」と指摘しており、「Cellebriteの技術の設計上、同社が問題のある顧客との取引を実質的に遮断することは困難であったようだ」と述べた。

Cellebrite自身はThe Record紙の取材に対し、「2021年3月以降のロシアでのCellebrite製レガシーハードウェアの使用は、いかなる場合も完全に不正利用である」とコメント。ロシアは永続的に同社の取引禁止対象顧客リストに掲載されたままであると伝えている。

Cellebrite製スパイウェアといえば、セルビアやヨルダン、ケニアなどの抑圧的な政権によって市民社会の端末へ侵入するために利用されていたことがCitizen Labの調査で判明している。同社のテクノロジーはジャーナリストが利用する情報筋や反体制派の動き・連携状況などに関する情報を抽出するのに使えることから、独裁的な政権の手に渡れば非常に危険で強力なツールとなる恐れがある。加えてCellebriteは新たなAI機能の展開も計画中とされる。Citizen LabのScott-Railton氏は、この新機能によって「人々のソーシャルグラフ（Web上の人間関係やつながり）」がより効率的に抽出できるようになるであろうことから、さらに懸念が高まると述べている。