Adobeにサイバー攻撃、290万人分の顧客情報と製品ソースコードが流出 23
ストーリー by headless
流出 部門より
流出 部門より
あるAnonymous Coward 曰く、
米Adobe Systemsのネットワークがサイバー攻撃を受け、290万人の顧客情報や製品のソースコードが流出したそうだ(お客様情報セキュリティに関する重要なお知らせ、 Adobe Featured Blogsの記事、 Adobe Secure Software Engineering Team (ASSET) Blogの記事、 ITmediaニュースの記事、 TechCrunch Japanの記事、 GIGAZINEの記事)。
Adobeによれば攻撃者はユーザーIDおよび暗号化されたパスワードにアクセスしたことが判明しており、ユーザーの名前や暗号化されたクレジットカード/デビットカード番号、有効期限など、注文時に入力された約290万人分の情報を取得したとみられている。同社では、不正アクセスを受けたアカウントのパスワードをリセットし、ユーザーにパスワード変更手順をメールで通知している。また、カード情報が取得されたとみられるユーザーに対しては、個人情報が悪用されることを防ぐための手順などを通知するとのこと。ソースコードが流出したのは「Adobe Acrobat」「ColdFusion」「ColdFusion Builder」などの製品。不正アクセスによるゼロデイ攻撃は確認されていないが、サポート期限内の製品を最新の状態に更新して使用することが推奨されている。
通知メールで知りました。 (スコア:5, 興味深い)
>From: "Adobe Customer Care" <email@mail.adobesystems.com>
>Reply-To: "ExactTarget Reply Mail Management"(略)
ん?なんだこのadobe.comと似てるけど違うドメイン。
しかもReply-Toヘッダもなんかあやしい。
まさしくフィッシングメールだな。
(whoisで検索)
・・・adminや技術責任者のアドレスはadobe.comって、本物なのか!
>Subject: Important Password Reset Information
なんだこのアホな感じのする英語タイトルは。
英語わからん日本人は「パスワード?」だし、英語ネイティブ的にはどーなのよ?
><html>
><head>
てゆーか、この内容でHTMLメールかよ!
><body bgcolor="#f5f5f5">
><div style="font-size: 1px; color: #f5f5f5; display: none;">Important Password Reset Information</div>
ん?bodyタグの直後のこれ、font-size:1pxってことは、見えないってことですね。
><table cellpadding="0" cellspacing="0" border="0" width="100%" bgcolor="#f5f5f5">
さすがDreamWeaverの製作元。tableレイアウトっすね!
><img alt="Adobe" src="http://image.mail.adobesystems.com/lib/(18桁の16進数らしきもの)/m/3/adobe.corp.email.red-tag.jpg "(略)
なにこのビーコンみたいな画像タグ。
><img src="http://s7d9.scene7.com/is/image/(略)" alt="Adobe"(略)
おじさんくりえいてぃぶじゃないからscene7.comとかわかんないよ。
adminや技術責任者はadobe.comだから他者じゃなさそうだけどね。
>We recently discovered that an attacker illegally entered(略)
やっと本文。てか英語ですか。おじさん日本で登録したのにねえ。
>To view this message in a language other than English, please click
><a href="http://www.adobe.com/go/ncc-email"(略)>here</a>
英語読めない人に英語で指示するってすげー。さすがぐろーばるすたんだーど。
ちなみにアクセス先はリダイレクトされますよ。
↓
http://helpx.adobe.com/x-productkb/policy-pricing/encc.html
かなり下の方に日本語ものってますね。
adobe.comのトップページからは、どうやったら今回の件の情報に行きつけるのかな?
><img src="http://click.mail.adobesystems.com/open.aspx?(すごい長い文字列)" width="1" height="1">
どう見てもビーコンです。本当にありがとうございました。
これがパスワード流出へのadobeさんの対応なんですね。よくわかりました。
クレジットカード情報を登録してなくて、本当によかった。
Re: (スコア:0)
ワンタイムデビットって、ほんと良い仕組みですよねぇ…。こうも流出が多いとなると。
発行するのがなんとなく面倒でクレカ使いがちだけどね。
しかし、暗号化されたって言ってもどういうレベルなのか。
XORしただけでも暗号化って言い張れるし、ハッシュしてあって復元不可能であっても同様であって。
「暗号化が解除されたとは考えられておりません」とか言ってるけど、その証明はだれが行うのだ。
Re: (スコア:0)
日本語で登録して英語のメールが来ることにお怒りなのは理解したが、それ以外の何が問題なのかわからん。
今時 HTML メールで文句言ってるのは日本人くらいなような…まだメールを desktop client で見てるんですか? script タグが怖いですか?ビーコンって何か悪いことするんですか?…何 % 位の人が見たのか、アクションを起こすのか調べるのは大切なことだと思うけれど…
なんていうか、こういうの見るたびに、RMS は日本に移住すれば幸せになれるんじゃないかと思う。
Re: (スコア:0)
RMSの例を出しながら日本人だけとはこれいかに
ガラパゴス言う人ほど外国をしらないと言う例の亜種かな
Re:通知メールで知りました。 (スコア:1)
典型っていうか本流というか
htmlメール許容!って叫ぶ危機管理意識がないお馬鹿さんが未だに存在するっつーのがマジ恐怖
信頼できる所からだったら許可するというか、こんなもん日本人がーとか米国人がーとかって全く以て関係なくね?
// ビーコンそのものは悪だと思わないけど、読み漏れがあった時「読みましたよね」って言って
// 説明責任を逃れようとしてユーザ側にストレス押し付けるのはどうかなぁと思わなくもない(:>^
ネットワーク一緒なんだ (スコア:0)
開発用のネットワークと運用用のネットワークは別にするもんだと思ってた
Re: (スコア:0)
うむ、俺もそれ思った。
ソース流出って時々あるけど、ソースにしろ、顧客情報にしろ、内部のクローズドな情報をオープンなネットワークに乗っけるって全く理解できないんだが、よくあることなの?
まあ、単に金けちってるだけなのかもしれんが、Adobeのような大企業でさえそうだとは。
Re: (スコア:0)
大企業だからこそじゃないか?
Adobeの会社構成がどうなっているかは詳しく知らんけど、国際的な大企業なら世界中に散らばった何十、何百の会社・事務所の集合体であることが多い。
もちろんその全てに本社と同等のアクセスをさせる必要は無いけど、やっぱりアチコチからアクセスできるようにせざるを得ないだろうから。
Re: (スコア:0)
ソース流出って時々あるけど、ソースにしろ、顧客情報にしろ、内部のクローズドな情報をオープンなネットワークに乗っけるって全く理解できないんだが、よくあることなの?
よくある。
ソースについては、開発者はインターネットを使用するのがほぼ必須。
であるからして、ソースコードはインターネットに到達可能である。
顧客情報は、いまどきの企業はインターネットでサービスしている。
であるからして、顧客情報はインターネットでサービスしていな企業は少ない。
ソースにしろ顧客情報にしろ、企業の内部にとってはオープンな情報だということ。
Re: (スコア:0)
いもづる式にアクセス許してしまったんじゃない?
Re:ネットワーク一緒なんだ (スコア:1)
たとえば管理用パスワードが同じだったとか、開発ネット→運用ネットは最認証なしで行けるとか?
それもあんまりじゃね?
Re: (スコア:0)
開発者は面倒くさいから再認証なしに設定しようとか禁止されてるのにばれないだろとか、ついやっちゃうでしょ
開発者のアカウント突破されて、ソースコードのサーバーもいただきとか
Re: (スコア:0)
ああそれあるある、物理的に違うサーバーかネットでもマスターパスワードは同じのが多いよね
Re: (スコア:0)
そこに認証が必要だったとしても、それはそれで盗む方法があった、というだけでは。
これを機に (スコア:0, オフトピック)
Acrobatをオープンソースに…は、しないか。
Re: (スコア:0)
PDF の仕様は公開されているから、今更 Acrobat をオープンソースしてもね。
既存のオープンソース PDF ビューア・エディタが作り込めてない(作り込める人がいない)んなら、
ソースだけ公開されても期待薄かなー。
# そもそも、見るだけなら、既存のオープンソース/フリーウェアでも十分かなと個人的には思うけど。
Re:これを機に (スコア:3, 参考になる)
PDF 1.7以降に追加された機能(とくにAcrobat X相当のAdobe Extension Level 8)は公開されてないよ。
PDF 2.0として公開されるはずだったけどAdobeが再度方針転換したのか、PDF 2.0のドラフトはいつの間にか取り下げになっていた。
http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.h... [iso.org]
それにしても今までISO 32000-2を追いかけてた人たちも含めて誰一人このことに言及していないってどういうことなの。取り下げられたのは去年の12月なのに今年に入っても「PDF 2.0がISO/DIS 32000-2として検討中です」とか言ってる情弱までいるし。
Re: (スコア:0)
ほんとだ……これは知らなかった。
# 一応 /.jp でも Firefox 19 リリース(内臓PDFビューア搭載)の時に話題で出ては居たみたいだね。
Re: (スコア:0)
ISO/CD 32000-2 - Document management -- Portable document format -- Part 2: PDF 2.0 [iso.org]
2013-07-26 のは「Under development」みたいですよ。
Re: (スコア:0)
Acrobat Readerと、Flash Playerに限り専門家とか静的解析ツールのメーカーへに公開してソースデバッグ位はしても良い気がします。
# Flash PlayerはGoogleが超頑張ってる。 [adobe.com]
Re: (スコア:0)
情況証拠だけですが Google にはソースコード提供してるんじゃないですかね。
そうでなくとも Linux 向けには NPAPI での提供を止めて PPAPI に注力している現状で、
Chrome くらいでしょう、まともに PPAPI サポートしてるの。
そりゃ結果的に Google 先生が頑張る割合も増えると思います。
# だれか物証を知らないかなー
Re: (スコア:0)
Adobeの元中の人によるとAdobeはPPAPI版Flash Playerのソースコードを持っておらず、Googleが提出したバイナリを自社のテストスイートに通して認定を与えているだけだそうです(だからたとえFirefoxがPPAPIに対応してもPPAPI版Flash PlayerをAdobeが公開できるわけではないというお話)。
https://groups.google.com/d/msg/mozilla.dev.platform/BwWeQwLACiM/KCyOYnEGLSkJ [google.com]
Re: (スコア:0)
コピー禁止とかのセキュリティ設定があるから無理では?