Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

アディダスのデータ侵害事件

6月28日にアディダスは米国のWebサイトでデータ漏えい事件が発生した可能性があると発表しました。

www.cbsnews.com

 

  • 米国のWebサイトが6月26日に侵害を受けた(※事件発表は28日)
  • 漏えいした可能性があるデータは、名前と暗号化されたパスワード
  • クレジットカードやフィットネス情報が漏えいした痕跡はない
  • 現在法的機関とデータセキュリティ専門家と問題に取り組んでいる
  • 数百万の顧客情報が漏えいした可能性がある(※スポークスマンのコメント)

 

◆キタきつねの所感

調査中だからかと思いますが、漏えいしたという第一報だけで、公式リリースを見ても、あまり事件の中身は分かりません。

f:id:foxcafelate:20180630082935j:plain

アディダスと言えば、最近ではユーザのフィットネス情報や位置情報を使ったトラッキングサービスも展開しており、大型(個人)情報DBを抱えています。(下記例示)

 

adidas miCoach(アディダス マイコーチ) | 【公式】アディダスオンラインショップ -adidas-

 

f:id:foxcafelate:20180630084139j:plain

f:id:foxcafelate:20180630084142j:plain

 

将来の日本代表の活躍に役立つであろうサッカーボールを使ったサービスもあったのですが・・・マイコーチサービスは、今年の12月で終了してしまうようですね。(知りませんでした)

f:id:foxcafelate:20180630084144j:plain

 

とは言え、まだフィットネス分野ではサービス提供を続けていくのであり、ビックデータ分析が進めば、センシティブになりかねない個人情報を抱えるアディダスとして、言い方を変えれば、アディダス程の大きな会社でも侵害を受けてしまった事は(1ユーザとして)少しショックでした。

 

事件について色々なソースを追いかけてみたのですが、各社同じような情報しか載っていません。しかし数百万件のデータが影響を受けた可能性がある(アディダスの米国ユーザから見ればごく一部でしょうが)事から考えると、よくありがちなパスワードリスト攻撃ではなく、Webの脆弱性を突かて内部システムに侵入されている可能性が高いかと思います。

 

Cnetの記事に事件の経緯部分が少しだけ載っていました。

www.cnet.com

The famed sportswear company said Thursday that on June 26 it learned about an unauthorized party claiming to have acquired "limited data associated with certain Adidas consumers."

(Cnet記事より引用)

 

外部の不明なパーティ(第三者)がアディダス顧客のデータを入手したと言っている。事件の発端はダークウェブのような所に、個人情報ファイルが掲載(販売)されていて、調べてみたら本物の顧客データでした、という可能性が高い気がします。

最近のデータ侵害事件で、ダークウェブ等に情報が掲載される際には、まず一部をテスト販売して、その後に全件を販売するような手法もとられていますので、(勝手な推測ですが)アディダス側が漏えい件数(影響範囲)を断定できてないのは、詳細調査中であるからだけでなく、不明なパーティが入手したデータ以上に会員情報、あるいはその他の秘匿情報が漏えいしている可能性を否定できない為なのかも知れません。

 

追加情報が出たら追加記事を書ければと思います。

 

 

スニーカーのイラスト(靴)

 

更新履歴

  • 2018年6月30日AM(予約投稿)