Adobe Creative Cloudユーザー、750万件のデータが誤って公開される
![](https://newsatcl-pctr.c.yimg.jp/t/iwiz-yn/rpr/ohmototakashi/00148396/top_image.jpeg?exp=10800)
Adobe Creative Cloudユーザー750万件の、eメールアドレス、アカウント情報、使用しているアドビ製品情報が、誤って公開されていたことが、Comparitech社とセキュリテイ研究者Bob Diachenko氏の調査で分かった。Diachenko氏はこの問題をAdobe社に報告し、Adobe社は既に問題を修正済み。
原因は、誤って構成されていた、Elasticsearchサーバー。クレジットカード番号やパスワード等の機密性の高い情報は含まれていなかったが、eメールアドレスや、利用製品の情報が含まれていたため、アドビ製品ユーザを対象とした高度なフィッシングキャンペーンに利用される恐れがあった。
■問題発覚のタイムライン
・2019年10月19日
Diachenko氏が公開されているElasticsearchサーバー上のデータを発見し、アドビに問題を通知。
![公開されていたデータベースのキャプチャ86GBのデータが公開されていた。 引用:comparitech.com](https://newsatcl-pctr.c.yimg.jp/t/iwiz-yn/rpr/ohmototakashi/00148396/image01.jpeg?fill=1&fc=fff&exp=10800)
・2019年10月19日
アドビ社は問題のあったインスタンスを保護した。
Diachenko氏の報告に、アドビは直ぐに対応したが、Diachenko氏によれば、公開されていた期間は最低でも約一週間程度有り、誰でもアクセス可能な状態にさらされていたという。
■公開されていたデータ
公開されたユーザーデータはクレジットカード番号やパスワードといった機密性の高い物は含まれていなかったが、eメールアドレスと使用しているアドビ製品の情報が含まれていたため、アドビユーザーを標的とするフィッシングキャンペーンの作成に使用することが可能だった。
以下のユーザーデータが含まれていた。
![誤って公開されていたデータのキャプチャ。クレジットカード情報は無いがメールアドレスは含まれていた。 引用:comparitech.com](https://newsatcl-pctr.c.yimg.jp/t/iwiz-yn/rpr/ohmototakashi/00148396/image02.jpeg?fill=1&fc=fff&exp=10800)
- メールアドレス
- アカウント作成日
- 使用しているアドビ製品
- サブスクリプションステータス
- ユーザーがアドビの従業員かどうか
- メンバーID
- 国
- 最後のログインからの時間
- 支払い状況
■アドビ社の声明文
本事象が発覚し、アドビ社は本脆弱性の対象が、プロトタイプの一部であり、問題は対策済みとの声明を発表した。
先週、アドビはプロトタイプ環境の1つでの作業に関連する脆弱性を認識しました。誤って設定された環境を即座にシャットダウンし、脆弱性に対処します。
環境には、電子メールアドレスを含むCreative Cloudの顧客情報が含まれていましたが、パスワードや財務情報は含まれていませんでした。この問題は、アドビのコア製品またはサービスの動作に関連するものではなく、影響もありませんでした。
今後同様の問題が発生するのを防ぐため、開発プロセスを見直しています。