米Adobe Systemsは今年9月にサイバー攻撃を受け、数千万人のユーザーに関する情報を盗まれたが、同社によれば、この問題に関するユーザーへの連絡に予想以上に時間がかかっているという。攻撃から10週間が経過した今もなお、この件について連絡を受けていないユーザーがいるということだ。
インターネット上には現在、Adobeから流出した大量のデータの一部が出回っており、まだAdobeからの通知を受け取っていないユーザーはオンライン詐欺やID盗難にあうリスクが高まっていることになる。
「これは大失態だ。誰でもこのリストにアクセスしてダウンロードできる。少しも秘密になっていない」。アンチウイルスソフトウェアメーカーである英Sophosの上級セキュリティアドバイザー、チェスター・ウィスニウスキー氏はそう指摘する。
Adobeの広報担当者、ヘザー・エデル氏によれば、Adobeは9月17日にこの攻撃に気付き、顧客への連絡はこの情報流出について10月3日に発表してから「すぐに開始した」という。
「メールでの通知に、予想よりも時間がかかっている」と同氏は語る。
「攻撃の影響を受けたメールアドレスを検証しなければならず、一度に送信する通知の数も制限する必要がある。メールプロバイダーにブロックされたり、スパムとしてタグ付けされたりしないようにだ」と同氏は説明を続ける。
同氏によれば、この攻撃でクレジットカード情報やデビットカード情報を盗まれた約290万人の顧客に対しては、既にメールと書面で連絡済みという。
「今は、当社サイトを利用する際に必要となるAdobe IDアカウントを持つ、その他数千万人のユーザーに連絡を行っているところだ」とエデル氏は語る。同氏は、実際に影響を受けたアカウントの件数については、現在も調査が継続中であることを理由に、具体的な数字の公表を断っている。
インターネットでは少なくともここ3週間、約1億5200万件のAdobe IDアカウントに関するデータを含むファイルが出回っている。その内容を確認した複数のセキュリティ企業によると、このファイルにはメールアドレスの他、暗号化されたパスワード、パスワードを忘れたときのための「パスワードのヒント」が含まれているという。
だがエデル氏によれば、攻撃されたデータベースは廃棄予定のバックアップシステムであったため、「1億5200万人のユーザーのアカウント情報が流出した」とするのは正確ではないという。
同氏によれば、漏えいしたデータには、現在は使われていないメールアドレスを含むものが約2500万件と、無効なパスワードを含むものが1800万件含まれるという。「アカウントはかなりの割合で偽物だった。無料のソフトウェアやその他各種の特典を入手するために、最初から使い捨てのつもりで設定されたものだ」と同氏は語る。
それでも、Sophosなどのセキュリティ企業の専門家は、パスワードのヒントを分析し、その他各種のテクニックを駆使して、ファイルに含まれる不特定数のパスワードの割り出しに成功している。
またFacebookなど一部の企業は、Adobeの顧客情報を含むファイルが広く出回ったことを受けて、このファイルに含れているのと同じアカウントとパスワードの組み合わせを自社のサービスでも使用しているユーザーの特定を進めている。
Facebookはその上で、該当するユーザーに対し、本人確認とパスワードの変更を求めている。
Facebookの広報担当者、ジェイ・ナンカロウ氏は次のように語る。「Facebookユーザーのアカウントが危険にさらされかねない状況には、積極的に対処する。たとえそれが、外部のサービスで発生した脅威であってもだ。そうした危険な状況を察知した場合は、該当するユーザーにメッセージを送り、アカウントのセキュリティ確保に努めている」
Sophosのウィスニウスキー氏は、情報漏えいに関するAdobeからの通知を装いつつ、実際には悪意のあるリンクを含んでいる詐欺メールに注意するようユーザーに呼び掛け、次のように語っている。
「悪い輩は、狙った相手がAdobeと関わりがあることを既に承知している。その分、だますのも簡単になる」
