セキュリティーソフトClick Studiosが同社製品のデータ侵害に関するツイートを止めるよう顧客に依頼

今回は「セキュリティーソフトClick Studiosが同社製品のデータ侵害に関するツイートを止めるよう顧客に依頼」についてご紹介します。

関連ワード （Click Studios、Passwordstate、SNS、サイバー攻撃、パスワード、パスワードマネージャー、ハッキング、マルウェア等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

オーストラリアのセキュリティソフトウェアハウス、Click Studios（クリック・スタジオ）は、同社が顧客に送付したデータ侵害に関するメールをSNSに投稿しないよう通知した。悪意あるハッカーが同社の看板エンタープライズパスワード管理ツールであるPasswordstateに偽のアップデートをプッシュ送信して、客のパスワードを盗めるようにした事象だ。

先週Click Studiosは、同社製のパスワードマネージャーに登録されている「パスワードをすべてリセットするよう」顧客に通知した。4月20～22日のある28時間に、ハッカーが悪意あるアップデートを顧客にプッシュ送信したためだ。悪意のアップデートは、アタッカーのサーバーにアクセスし、パワードマネージャーのコンテンツを盗んでアタッカーに送信するマルウェアを取ってくるように作られていた。

関連記事：アップデート機能を悪用した攻撃を受けPasswordstateが約3万の顧客に「パスワードをリセットするよう」警告

顧客向けのメールでClick Studiosは、アタッカーがどうやってパスワードマネージャーのアップデート機能に侵入したのかは言わなかったが、セキュリティ修正へのリンクは載せた。

しかし、侵害のニュースが明るみに出たのは、Click Studiosが顧客にメールを送ってから数時間後に、デンマークのサイバーセキュリティ会社、CSIS Groupが攻撃の詳細をブログに書いた後だった。

Click Studiosによると、Passwordstateは「2万9000以上の顧客」に利用されており、Fortune 500企業、政府、銀行、国防、航空宇宙をはじめとするほとんどの主要産業が含まれている。

Click Studiosは公式ウェブサイトの告知で「Click Studiosのメールをソーシャルメディアに投稿しないよう」顧客に求めている。更にメールで「悪人たちはソーシャルメディアを積極的に監視して、関連するアタックに利用できる情報を探している可能性があります」と付け加えた。

「悪人たちが侵入に関する情報を得て利用しようと、ソーシャルメディアを積極的に監視していることが予想されます。お客様においては悪人に使われる恐れのある情報をソーシャルメディアに投稿しないようお願いいたします。過去には、Click Studioのメール内容を模倣したフィッシングメールが送られるという事象が起こっています」。

侵害が発見されて以来、いくつもの告知を掲載したこと以外、会社はコメントや質問への回答を拒んでいる。

また、同社がこの侵害事象を、顧客のいる米国およびEU当局に伝えたのかどうかもわかっていないが、当地のデータ侵害通知規則は企業が侵害事象を報告することを義務づけている。EUのGDPR（一般データ保護規則）に違反した場合、企業は世界年間売上の最大4％を罰金として支払わなくてはならない。

Click StudiosのCEOであるMark Sanford（マーク・サンフォード）氏はTechCrunchの再三のコメント要求に答えていない。代わりに本誌が受け取ったのは、同社スタッフは「顧客の技術支援だけに集中しています」とするサポート部門からの定形自動メールだけだ。

TechCrunchは米国時間4月29日、サンフォード氏に再度メールを送って最新の告知に関するコメントを求めたが、返信はなかった。

画像クレジット：TechCrunch

【原文】

Australian security software house Click Studios has told customers not to post emails sent by the company about its data breach, which allowed malicious hackers to push a malicious update to its flagship enterprise password manager Passwordstate to steal customer passwords.

Last week, the company told customers to “commence resetting all passwords” stored in its flagship password manager after the hackers pushed the malicious update to customers over a 28-hour window between April 20-22. The malicious update was designed to contact the attacker’s servers to retrieve malware designed to steal and send the password manager’s contents back to the attackers.

In an email to customers, Click Studios did not say how the attackers compromised the password manager’s update feature, but included a link to a security fix.

But news of the breach only became public after Danish cybersecurity firm CSIS Group published a blog post with details of the attack hours after Click Studios emailed its customers.

Click Studios claims Passwordstate is used by “more than 29,000 customers,” including in the Fortune 500, government, banking, defense and aerospace, and most major industries.

In an update on its website, Click Studios said in a Wednesday advisory that customers are “requested not to post Click Studios correspondence on Social Media.” The email adds: “It is expected that the bad actor is actively monitoring Social Media, looking for information they can use to their advantage, for related attacks.”

“It is expected the bad actor is actively monitoring social media for information on the compromise and exploit. It is important customers do not post information on Social Media that can be used by the bad actor. This has happened with phishing emails being sent that replicate Click Studios email content,” the company said.

Besides a handful of advisories published by the company since the breach was discovered, the company has refused to comment or respond to questions.

It’s also not clear if the company has disclosed the breach to U.S. and EU authorities where the company has customers, but where data breach notification rules obligate companies to disclose incidents. Companies can be fined up to 4% of their annual global revenue for falling foul of Europe’s GDPR rules.

Click Studios chief executive Mark Sandford has not responded to repeated requests (from TechCrunch) for comment. Instead, TechCrunch received the same canned autoresponse from the company’s support email saying that the company’s staff are “focused only on assisting customers technically.”

TechCrunch emailed Sandford again on Thursday for comment on the latest advisory, but did not hear back.

（文：Zack Whittaker、翻訳：Nob Takahashi / facebook ）

パスワードとは - コトバンク

日本大百科全書(ニッポニカ) - パスワードの用語解説 - コンピュータを使用する際に、ファイルなどの情報にアクセスする権限に条件をつけたとき、その条件にかなうかどうかを判定するためにはアクセスする人間をなんらかの方法で同定する必要がある。音声や指紋など個人の生物学的属性（バイオメト...

パスワード生成（パスワード作成）

パスワード生成（パスワード作成）するweb・ウェブ制作に役立つ便利ツール。お好みのパスワードを生成（自動作成）することができるツールです。

パスワード - Wikipedia

パスワード （ 英: password ）とは、一般的に 合言葉 （ あいことば ） を指すが、特に コンピュータ 関連で使用する場合は、特定の機能・権限を使用する際に 認証 を行うために入力する文字列（文字・数字・記号等の組合せ）を指す。. 利用者の名前（ユーザー名）とパスワードの組み合わせが事前に登録されたものと一致するとコンピューターやサービスを利用 ...

passwordの意味・使い方・読み方 | Weblio英和辞書

1000万語収録！Weblio辞書 - password とは【意味】合い言葉... 【例文】password: Password for login... 「password」の意味・例文・用例ならWeblio英和・和英辞書

Google パスワード マネージャー

パスワード マネージャーへようこそ Android や Chrome に保存したパスワードを管理できます。パスワードは Google アカウントに安全に保存され、すべてのデバイスでご利用いただけます。

パソコンにパスワードを新規に設定する方法が知りたい | 会話 ...

「パソコンを自分以外の人に使われないようにしたい！」パソコンにパスワードを新規に設定する方法を、会話形式で解説しています。

パスワード生成 (Passwords Generator)

パスワードを大量に自動生成します。パスワードに使用する文字、長さ、文字の出現パターンなどをカスタマイズできます。生成したパスワードの強度を数値で確認できます。パスワード生成処理のすべてはあなたのパソコン上で実行するため安全に使用できます。,Automatically generate a lot of passwords. You can customize the characters used in the password, their length, and the pattern in which they appear. The strength of the generated password can be checked numerically. Also, all of the passwords generation process is done on your computer, so you can use it securely.

強力で覚えやすくて1つしかないパスワードを作成する方法 ...

パスワードの使い回しはセキュリティ的にNGです。でも、強力で覚えやすいパスワードを考え出すのは無理、とあきらめていませんか？そんなことはありません。こうすればいいのです。

パスワードのリセット - Outlook

手順に従って、パスワードとセキュリティ情報をリセットできます。まず、お使いの Microsoft アカウントを入力し、以下の手順に従ってください。 まず、お使いの Microsoft アカウントを入力し、以下の手順に従ってください。

人気のパスワード管理おすすめランキング12選【管理 ...

パスワード管理はパスワードを一括管理できるツールです。生態認証・オフライン作業・ワンタイムパスワードなど色々な方法でセキュリティを守れます。無料アプリもありお試し利用が可能でしょう。今回は人気のパスワード管理をおすすめランキングで紹介しています。