オーストラリアのセキュリティソフトウェアハウス、Click Studios(クリック・スタジオ)は、同社が顧客に送付したデータ侵害に関するメールをSNSに投稿しないよう通知した。悪意あるハッカーが同社の看板エンタープライズパスワード管理ツールであるPasswordstateに偽のアップデートをプッシュ送信して、客のパスワードを盗めるようにした事象だ。
先週Click Studiosは、同社製のパスワードマネージャーに登録されている「パスワードをすべてリセットするよう」顧客に通知した。4月20~22日のある28時間に、ハッカーが悪意あるアップデートを顧客にプッシュ送信したためだ。悪意のアップデートは、アタッカーのサーバーにアクセスし、パワードマネージャーのコンテンツを盗んでアタッカーに送信するマルウェアを取ってくるように作られていた。
関連記事:アップデート機能を悪用した攻撃を受けPasswordstateが約3万の顧客に「パスワードをリセットするよう」警告
顧客向けのメールでClick Studiosは、アタッカーがどうやってパスワードマネージャーのアップデート機能に侵入したのかは言わなかったが、セキュリティ修正へのリンクは載せた。
しかし、侵害のニュースが明るみに出たのは、Click Studiosが顧客にメールを送ってから数時間後に、デンマークのサイバーセキュリティ会社、CSIS Groupが攻撃の詳細をブログに書いた後だった。
Click Studiosによると、Passwordstateは「2万9000以上の顧客」に利用されており、Fortune 500企業、政府、銀行、国防、航空宇宙をはじめとするほとんどの主要産業が含まれている。
Click Studiosは公式ウェブサイトの告知で「Click Studiosのメールをソーシャルメディアに投稿しないよう」顧客に求めている。更にメールで「悪人たちはソーシャルメディアを積極的に監視して、関連するアタックに利用できる情報を探している可能性があります」と付け加えた。
「悪人たちが侵入に関する情報を得て利用しようと、ソーシャルメディアを積極的に監視していることが予想されます。お客様においては悪人に使われる恐れのある情報をソーシャルメディアに投稿しないようお願いいたします。過去には、Click Studioのメール内容を模倣したフィッシングメールが送られるという事象が起こっています」。
侵害が発見されて以来、いくつもの告知を掲載したこと以外、会社はコメントや質問への回答を拒んでいる。
また、同社がこの侵害事象を、顧客のいる米国およびEU当局に伝えたのかどうかもわかっていないが、当地のデータ侵害通知規則は企業が侵害事象を報告することを義務づけている。EUのGDPR(一般データ保護規則)に違反した場合、企業は世界年間売上の最大4%を罰金として支払わなくてはならない。
Click StudiosのCEOであるMark Sanford(マーク・サンフォード)氏はTechCrunchの再三のコメント要求に答えていない。代わりに本誌が受け取ったのは、同社スタッフは「顧客の技術支援だけに集中しています」とするサポート部門からの定形自動メールだけだ。
TechCrunchは米国時間4月29日、サンフォード氏に再度メールを送って最新の告知に関するコメントを求めたが、返信はなかった。
カテゴリー:セキュリティ
タグ:Click Studios、Passwordstate、パスワードマネージャー、マルウェア、パスワード、ハッキング、サイバー攻撃、SNS
画像クレジット:TechCrunch
[原文へ]
(文:Zack Whittaker、翻訳:Nob Takahashi / facebook )