記事を書いている時点(10/26)では、日本語記事を見かけないのですが、恐らくこの記事が出る頃にはいろいろな方が取り上げているだろうな・・と思いつつ、書いてみます。
threatpost.com
推定1500万人の加入者を持つAdobe Creative Cloud は、Photoshop、Lightroom、Illustrator、InDesign、Premiere Pro、Audition、After Effectsなどの人気のあるアドビ製品のスイートにユーザーがアクセスできる月額サービスです。
Comparitechは、セキュリティ研究者のボブ・ディアチェンコと提携して、公開されたデータベースを明らかにしました。Elasticsearchデータベースは、パスワードやその他の認証なしでタップできます。メールアドレス、アカウント情報、およびユーザーが購入したアドビ製品への攻撃者アクセスを提供します。データには支払い情報やパスワードは含まれていません。
Comparitechの研究者Paul Bischoffによると、Threatpostが共有した金曜日の調査では、ユーザーデータは「特に機密ではありませんでした」が、Adobeユーザーを対象とした説得力のあるフィッシングメールの作成に使用できます。
(Threatpost記事より引用)※機械翻訳
◆キタきつねの所感
元記事(comparitech)はこちらになる様です。公開データが見つかって、Adobeは報告を受けた10/19にDBの保護策を取った様です。データベースがいつから意図しない公開状態であったかは分かりませんが、Adobeのユーザは750万人とも言われ、それなりにライセンスフィーを払う(余裕がある)ユーザである事が分かっていますので、今後フィッシング詐欺などに、データが漏洩していたら使われる可能性が指摘されています。
www.comparitech.com
漏洩した可能性があるデータは、そう秘匿性の高い情報では無い様です。メールアドレスと、国くらいですかね。とは言え、Adobeを偽ったフィッシングメールであれば、十分に使えるデータと言えるかも知れません。また、更に考えらえるのはAdobe社員かどうかのフラグ条件も漏洩している事から、Adobe社員に対してのAPT攻撃(さらなる情報奪取を狙った)というのも考えられるかも知れません。
メールアドレス
アカウント作成日
使用しているアドビ製品
サブスクリプションステータス
ユーザーがアドビの従業員かどうか
メンバーID
国
最後のログインからの時間
支払い状況
(comparitech記事より引用)※機械翻訳
今回の事件は、Adobe Creative CloudユーザーデータがWebブラウザーを使用しているユーザーに意図せず公開されて(DBにはパスワードや認証無しでアクセスできた様です)いる所を、セキュリティ専門家に見つかったという事なので、もしかすると実被害は無いのかも知れませんが、仮にこれが長期間DBが公開されていたのだとすれば、ハッカーに漏洩していた可能性は高まります。
Adobeは2013年に、3800万人が影響したデータ(ユーザ名とパスワード、ソースコード等)漏洩事件を引き起こしてますが、クラウドでのサブスクリプションモデルに注力するならば、もう少しクラウドの設定についてもセキュリティテストを入念に実施すべきかも知れません。
krebsonsecurity.com
そして、、過去に侵害事件を起こしたAdobeですら、設定ミスをするのですから、日本の数多くのクラウド利用ビジネスを展開しているユーザも、、今一度、クラウドのセキュリティについて再チェックすべきかと思います。
foxsecurity.hatenablog.com
本日もご来訪ありがとうございました。
※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。
www.jpac-privacy.jp
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴