Adobe Creative Cloudユーザー750万件の、eメールアドレス、アカウント情報、使用しているアドビ製品情報が、誤って公開されていたことが、Comparitech社とセキュリテイ研究者Bob Diachenko氏の調査で分かった。Diachenko氏はこの問題をAdobe社に報告し、Adobe社は既に問題を修正済み。

 原因は、誤って構成されていた、Elasticsearchサーバー。クレジットカード番号やパスワード等の機密性の高い情報は含まれていなかったが、eメールアドレスや、利用製品の情報が含まれていたため、アドビ製品ユーザを対象とした高度なフィッシングキャンペーンに利用される恐れがあった。

■問題発覚のタイムライン

 ・2019年10月19日

  Diachenko氏が公開されているElasticsearchサーバー上のデータを発見し、アドビに問題を通知。

公開されていたデータベースのキャプチャ86GBのデータが公開されていた。 引用:comparitech.com
公開されていたデータベースのキャプチャ86GBのデータが公開されていた。 引用:comparitech.com

 ・2019年10月19日

  アドビ社は問題のあったインスタンスを保護した。

 Diachenko氏の報告に、アドビは直ぐに対応したが、Diachenko氏によれば、公開されていた期間は最低でも約一週間程度有り、誰でもアクセス可能な状態にさらされていたという。

■公開されていたデータ

 公開されたユーザーデータはクレジットカード番号やパスワードといった機密性の高い物は含まれていなかったが、eメールアドレスと使用しているアドビ製品の情報が含まれていたため、アドビユーザーを標的とするフィッシングキャンペーンの作成に使用することが可能だった。

 以下のユーザーデータが含まれていた。

誤って公開されていたデータのキャプチャ。クレジットカード情報は無いがメールアドレスは含まれていた。 引用:comparitech.com
誤って公開されていたデータのキャプチャ。クレジットカード情報は無いがメールアドレスは含まれていた。 引用:comparitech.com
  • メールアドレス
  • アカウント作成日
  • 使用しているアドビ製品
  • サブスクリプションステータス
  • ユーザーがアドビの従業員かどうか
  • メンバーID
  • 最後のログインからの時間
  • 支払い状況

■アドビ社の声明文

 本事象が発覚し、アドビ社は本脆弱性の対象が、プロトタイプの一部であり、問題は対策済みとの声明を発表した。

先週、アドビはプロトタイプ環境の1つでの作業に関連する脆弱性を認識しました。誤って設定された環境を即座にシャットダウンし、脆弱性に対処します。

環境には、電子メールアドレスを含むCreative Cloudの顧客情報が含まれていましたが、パスワードや財務情報は含まれていませんでした。この問題は、アドビのコア製品またはサービスの動作に関連するものではなく、影響もありませんでした。

今後同様の問題が発生するのを防ぐため、開発プロセスを見直しています。

出典:Adobe Security Update