セキュリティーソフトClick Studiosが同社製品のデータ侵害に関するツイートを止めるよう顧客に依頼

オーストラリアのセキュリティソフトウェアハウス、Click Studios(クリック・スタジオ)は、同社が顧客に送付したデータ侵害に関するメールをSNSに投稿しないよう通知した。悪意あるハッカーが同社の看板エンタープライズパスワード管理ツールであるPasswordstateに偽のアップデートをプッシュ送信して、客のパスワードを盗めるようにした事象だ。

先週Click Studiosは、同社製のパスワードマネージャーに登録されている「パスワードをすべてリセットするよう」顧客に通知した。4月20~22日のある28時間に、ハッカーが悪意あるアップデートを顧客にプッシュ送信したためだ。悪意のアップデートは、アタッカーのサーバーにアクセスし、パワードマネージャーのコンテンツを盗んでアタッカーに送信するマルウェアを取ってくるように作られていた。

関連記事:アップデート機能を悪用した攻撃を受けPasswordstateが約3万の顧客に「パスワードをリセットするよう」警告

顧客向けのメールでClick Studiosは、アタッカーがどうやってパスワードマネージャーのアップデート機能に侵入したのかは言わなかったが、セキュリティ修正へのリンクは載せた。

しかし、侵害のニュースが明るみに出たのは、Click Studiosが顧客にメールを送ってから数時間後に、デンマークのサイバーセキュリティ会社、CSIS Groupが攻撃の詳細をブログに書いた後だった。

Click Studiosによると、Passwordstateは「2万9000以上の顧客」に利用されており、Fortune 500企業、政府、銀行、国防、航空宇宙をはじめとするほとんどの主要産業が含まれている。

Click Studiosは公式ウェブサイトの告知で「Click Studiosのメールをソーシャルメディアに投稿しないよう」顧客に求めている。更にメールで「悪人たちはソーシャルメディアを積極的に監視して、関連するアタックに利用できる情報を探している可能性があります」と付け加えた。

「悪人たちが侵入に関する情報を得て利用しようと、ソーシャルメディアを積極的に監視していることが予想されます。お客様においては悪人に使われる恐れのある情報をソーシャルメディアに投稿しないようお願いいたします。過去には、Click Studioのメール内容を模倣したフィッシングメールが送られるという事象が起こっています」。

侵害が発見されて以来、いくつもの告知を掲載したこと以外、会社はコメントや質問への回答を拒んでいる。

また、同社がこの侵害事象を、顧客のいる米国およびEU当局に伝えたのかどうかもわかっていないが、当地のデータ侵害通知規則は企業が侵害事象を報告することを義務づけている。EUのGDPR(一般データ保護規則)に違反した場合、企業は世界年間売上の最大4%を罰金として支払わなくてはならない。

Click StudiosのCEOであるMark Sanford(マーク・サンフォード)氏はTechCrunchの再三のコメント要求に答えていない。代わりに本誌が受け取ったのは、同社スタッフは「顧客の技術支援だけに集中しています」とするサポート部門からの定形自動メールだけだ。

TechCrunchは米国時間4月29日、サンフォード氏に再度メールを送って最新の告知に関するコメントを求めたが、返信はなかった。

カテゴリー:セキュリティ
タグ:Click StudiosPasswordstateパスワードマネージャーマルウェアパスワードハッキングサイバー攻撃SNS

画像クレジット:TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

アップデート機能を悪用した攻撃を受けPasswordstateが約3万の顧客に「パスワードをリセットするよう」警告

企業向けパスワードマネージャー「Passwordstate(パスワードステート)」を開発しているオーストラリアのソフトウェアハウスClick Studios(クリック・スタジオズ)は、同社のパスワードマネージャーがサイバー攻撃を受けたため、顧客に組織全体のパスワードをリセットするよう警告を出した。

Click Studiosが顧客に送信した電子メールによると、同社は攻撃者が顧客のパスワードを盗むためにパスワードマネージャーのソフトウェアアップデート機能を「侵害」したことを確認したという。

ポーランドのニュースサイト「Niebezpiecznik」が現地時間4月23日にTwitter(ツイッター)に投稿したこのメールには、悪意のあるアップデートによって4月20日から22日の28時間の間に、Passwordstateの顧客が無防備な状態になったと書かれている。この悪意のあるアップデートは、一度インストールされると、攻撃者のサーバーに接続してマルウェアを取得。このマルウェアがパスワードマネージャーの情報を盗み出し、攻撃者に送り返すという仕組みだ。メールでは「Passwordstateに含まれるすべてのパスワードのリセットを開始する」ように顧客に伝えている。

パスワードマネージャー「PasswordState」がハッキングされ、顧客のパソコンが感染した。

メーカーは被害者にメールで通知している。

このパスワードマネージャーは「企業向け」なので、この問題は主に企業に影響を与える…これは痛い!

(情報元:謎めいたペドロ)

Click Studiosは、攻撃者がどのようにしてパスワードマネージャーのアップデート機能を侵害したかについては明らかにしていないが、顧客にはセキュリティ修正プログラムをメールで送信している。

同社によると、攻撃者のサーバーは4月22日に遮断されたという。しかし、攻撃者がシステムを再びオンラインにすれば、Passwordstateのユーザーは依然として危険にさらされる可能性がある。

企業向けパスワードマネージャーは、それを使用する企業の従業員たちが、ファイアウォールやVPNを含むネットワーク機器、共有の電子メールアカウント、内部データベース、ソーシャルメディアアカウントなどのパスワードやその他の機密情報を、組織全体で共有できるようにするものだ。Click Studiosの主張によると、Passwordstateはフォーチュン500企業、政府機関、銀行、防衛・航空宇宙そしてほとんどの主要産業を含む「2万9000以上の顧客」に使用されているという。

被害に遭った顧客には、米国時間4月23日早朝に通知が届いたが、この侵害のニュースが広く知られるようになったのはその数時間後、デンマークのサイバーセキュリティ企業であるCSIS Group(CSISグループ)が攻撃の詳細をブログに掲載してからだ。

Click Studiosの最高経営責任者であるMark Sanford(マーク・サンフォード)氏は、オーストラリアの営業時間外に行われたコメントの要請に応じなかった。

関連記事:インターネット界で最も頼りになる流出データの管理人「Have I Been Pwned」が生まれたわけ

カテゴリー:セキュリティ
タグ:Click StudiosPasswordstateパスワードマネージャーマルウェアパスワードハッキングサイバー攻撃

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)