米国 Adobe は利用者に対し、同社のシステムが侵害を受け、ソースコードと利用者のアカウント情報が不正アクセスされたことを発表した。

Adobe セキュリティ侵害 ― 真のターゲットはソースコードなのか?
Adobe CSO、Brad Arkin 氏
Adobe の最高セキュリティ責任者(CSO)である Brad Arkin 氏は、同社公式 Blog で次のように説明している。

「我々は、攻撃者が我々のシステムから290万人の顧客情報を抜き取ったと考えている。この情報には、顧客の名前、暗号化されたクレジットカードおよびデビットカード情報とその有効期限、その他顧客の注文履歴などが含まれる。だが、攻撃者がクレジットカードやデビットカードの暗号を解読できるとは現時点では考えていない」

データは暗号化されてはいるが、Adobe は利用者情報を保護するための追加の手段を講じる。その1つは、影響を受けたすべての Adobe ID アカウントのリセットだ。利用者は、パスワードの変更を求められている。

ソースコード?

だが、攻撃者の真の目的は Adobe ID ではないのかもしれない。今回の攻撃では、Adobe Acrobat、ColdFusion、ColdFusion Builder のソースコードが流出した。その他の Adobe 製品のソースコードも不正にアクセスされた可能性がある。Arkin 氏は、ソースコード流出が利用者のリスクを高める可能性について、現時点では何も触れていない。

Adobe は様々な手段で利用者に警告を与え、利用者を保護しようとしている。だが、今回のデータ侵害が発生した理由については明かしていない。CORE Security の Tommy Chin 氏は InternetNews.com に対し、次のように述べた。

「Adobe は顧客を保護するための正しい手段を講じている。だが、攻撃者がシステムにどうやって侵入を果たしたのか、その手法については明らかにしていない。また、攻撃者がソースコードで何をするのかは興味深い。攻撃者は、顧客 ID に世間の注目を集めることで、ソースコードに何をしたのか、隠そうしているのかもしれない」

セキュリティベンダー Tripwire の最高セキュリティ責任者である Dwayne Menlancon 氏も、ソースコードへの不正アクセスを不安視する1人だ。

「うわさでは、今回の不正アクセスは、LexisNexis やその他多くの組織に侵入を果たした攻撃者集団によって準備されたものだと言われている。今回の攻撃でも、同じ攻撃手法を使った可能性がある。LexisNexis のケースでは、攻撃者はターゲットのシステムに不正な実行可能ファイルを組み込み、攻撃者がコントロール可能なチャンネルを生成していた」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。