Yahoo!ニュース

Adobe Creative Cloudユーザー、750万件のデータが誤って公開される

大元隆志CISOアドバイザー
クリエイターに人気のアドビ製品利用者のeメールアドレス等が誤って公開されていた。(写真:アフロ)

 Adobe Creative Cloudユーザー750万件の、eメールアドレス、アカウント情報、使用しているアドビ製品情報が、誤って公開されていたことが、Comparitech社とセキュリテイ研究者Bob Diachenko氏の調査で分かった。Diachenko氏はこの問題をAdobe社に報告し、Adobe社は既に問題を修正済み。

 原因は、誤って構成されていた、Elasticsearchサーバー。クレジットカード番号やパスワード等の機密性の高い情報は含まれていなかったが、eメールアドレスや、利用製品の情報が含まれていたため、アドビ製品ユーザを対象とした高度なフィッシングキャンペーンに利用される恐れがあった。

■問題発覚のタイムライン

 ・2019年10月19日

  Diachenko氏が公開されているElasticsearchサーバー上のデータを発見し、アドビに問題を通知。

公開されていたデータベースのキャプチャ86GBのデータが公開されていた。 引用:comparitech.com
公開されていたデータベースのキャプチャ86GBのデータが公開されていた。 引用:comparitech.com

 ・2019年10月19日

  アドビ社は問題のあったインスタンスを保護した。

 Diachenko氏の報告に、アドビは直ぐに対応したが、Diachenko氏によれば、公開されていた期間は最低でも約一週間程度有り、誰でもアクセス可能な状態にさらされていたという。

■公開されていたデータ

 公開されたユーザーデータはクレジットカード番号やパスワードといった機密性の高い物は含まれていなかったが、eメールアドレスと使用しているアドビ製品の情報が含まれていたため、アドビユーザーを標的とするフィッシングキャンペーンの作成に使用することが可能だった。

 以下のユーザーデータが含まれていた。

誤って公開されていたデータのキャプチャ。クレジットカード情報は無いがメールアドレスは含まれていた。 引用:comparitech.com
誤って公開されていたデータのキャプチャ。クレジットカード情報は無いがメールアドレスは含まれていた。 引用:comparitech.com
  • メールアドレス
  • アカウント作成日
  • 使用しているアドビ製品
  • サブスクリプションステータス
  • ユーザーがアドビの従業員かどうか
  • メンバーID
  • 最後のログインからの時間
  • 支払い状況

■アドビ社の声明文

 本事象が発覚し、アドビ社は本脆弱性の対象が、プロトタイプの一部であり、問題は対策済みとの声明を発表した。

先週、アドビはプロトタイプ環境の1つでの作業に関連する脆弱性を認識しました。誤って設定された環境を即座にシャットダウンし、脆弱性に対処します。

環境には、電子メールアドレスを含むCreative Cloudの顧客情報が含まれていましたが、パスワードや財務情報は含まれていませんでした。この問題は、アドビのコア製品またはサービスの動作に関連するものではなく、影響もありませんでした。

今後同様の問題が発生するのを防ぐため、開発プロセスを見直しています。

出典:Adobe Security Update

大元隆志
CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事