概要

Mr. Raccoonと名乗る脅威アクターが、アドビ社を攻撃し、大量の機密データを盗んだという疑惑が浮上しています。この事件では、1300万件以上のサポートチケット、15,000件以上の従業員情報、内部文書、および全てのHackerOneバグボンティレポートが流出したとされています。

攻撃手法

脅威アクターは直接アドビ社の主要ネットワークをハックするのではなく、インドのビジネスプロセスアウトソーシング（BPO）企業を通じて攻撃を実行しました。このBPO企業はアドビ社のサポートサービスを提供しています。

攻撃者はまず、BPOの従業員に悪意のあるメールを送り込みました。その結果、リモートアクセスツール（RAT）が従業員のコンピュータにインストールされました。その後、攻撃者はこの初期の足場を利用して、従業員のマネージャーに対して標的型フィッシングメールを送り、より深いネットワークへのアクセスを得ました。

重大なセキュリティ脆弱性

最も驚くべき事実としては、アドビ社のサポートチケットプラットフォームに単純な設定ミスがあったことです。脅威アクターは、「エージェントが一括で全チケットをダウンロードできるように設定されていた」と述べています。

これにより、特定のユーザーアカウントが大量データのダウンロードを行う際にも、アラームが鳴るわけでも特別な承認が必要になるわけでもなかったということです。

流出したファイルの価値

• 顧客サポートチケットには通常、名前、メールアドレス、アカウント詳細、技術的な問題に関するメモなどが含まれています。これらの情報はサイバー犯罪者にとって非常に有用です。
• HackerOneバグボンティレポートの窃取は特に危険です。これらのファイルにはセキュリティ研究者が見つけたソフトウェア脆弱性についての詳細な手順が記載されています。

アドビ社からの公式声明

現在、アドビ社からはこの漏洩疑惑に関する正式な声明は出ていません。しかし、これらの主張が真実である場合、これは2026年の最大のデータ暴露事件となり、サードパーティベンダーアクセスによるリスクを示すものとなります。

対策

この事例は、すべての業界でセキュリティチームがBPO契約者を監視することを思い出させるべきです。企業はシステムを審査し、単一のユーザーアカウントが大量データをダウンロードする際にも厳格なセキュリティチェックが行われるよう確認すべきです。

注意

この記事は、International Cyber Digestからの未確認の報告に基づいています。アドビ社は現在、公式にこの漏洩を確認または否定していません。

---

元記事: https://gbhackers.com/adobe-data-breach-exposes-13-million-tickets/