データ侵害の概要
ニュースレタープラットフォームのSubstackは、2025年10月に攻撃者によってユーザーのメールアドレスと電話番号が盗まれたデータ侵害について、ユーザーに通知しました。この事件は4か月前に発生しましたが、CEOのChris Best氏は、Substackが今週になって初めて侵害を発見したと影響を受けたユーザーに伝えました。ただし、攻撃者は一部のユーザーデータを盗んだものの、認証情報や財務情報にはアクセスしていないとBest氏は強調しました。
侵害の詳細と情報流出
Best氏が本日送信した侵害通知メールによると、「2月3日、我々はシステムに問題がある証拠を特定しました。これにより、許可されていない第三者が、メールアドレス、電話番号、その他の内部メタデータを含む限られたユーザーデータにアクセスすることが可能になりました」とのことです。このデータは2025年10月にアクセスされたとされています。重要な点として、クレジットカード番号、パスワード、および財務情報にはアクセスされていませんでした。
Substackはまだ影響を受けたユーザー数を公表していませんが、月曜日には、ある脅威アクターがハッキングフォーラム「BreachForums」で、盗まれたとされるデータ697,313件を含むデータベースをリークしました。彼らはまた、データをスクレイピングしたと主張し、「使用されたスクレイピング方法はノイズが多く、すぐにパッチが適用された」と述べています。
Substackの対応と今後の注意喚起
攻撃者が盗んだデータにどのようにアクセスしたか、またはデータ侵害の全体的な影響については詳細を説明していませんが、Substackは攻撃で悪用された脆弱性に対処したと発表しています。同社は、盗まれた情報を悪用する可能性のあるフィッシング詐欺に注意するよう警告しました。「この問題を引き起こしたシステムの脆弱性は修正しました」とBest氏は述べ、ユーザーに対し「この情報が悪用されているという証拠はありませんが、疑わしいメールやテキストメッセージには特に注意を払うようお勧めします」と促しました。BleepingComputerの取材に対し、Substackの広報担当者は事件に関するこれ以上の詳細を共有しませんでしたが、「この問題が再発するのを防ぐための安全対策が講じられた」とコメントしました。
過去のインシデントとプラットフォームの成長
約6年前の2020年7月には、Substackはプライバシーポリシー更新メールで、一部のユーザーのメールアドレスを「to」フィールドに誤って含め、「bcc」フィールドではなく意図せず露呈させていました。2017年のローンチ以来、Substackは独立系ジャーナリストやコンテンツクリエーターの間で人気を集め、2025年3月までに有料購読者数が500万人に達するなど、急速な成長を遂げています。