はじめに
Adobeは、同社のAdobe Analyticsサービスにおいて、顧客の追跡データが誤って他のテナントの分析インスタンスに表示されるバグが発生したことを顧客に警告しています。この問題は、約1日間にわたり発生しました。
インシデントの詳細
この問題は、2025年9月17日12:20 UTCに発生しました。Adobeのステータスページによると、最近のパフォーマンス最適化変更中に導入されたバグが、Analytics Edgeのデータ収集に影響を与えたことが原因です。このバグにより、Analysis Workspaceレポートに「誤った値」が表示されました。
影響を受けたAnalyticsサービスは多岐にわたり、以下のものが含まれます:
- データ収集 (Data Collection)
- メディア処理 (Media Processing)
- 顧客属性 (Customer Attributes)
- レポートアプリケーション (reporting applications)
Adobeは、9月18日11:00 UTCにこの変更を元に戻し、今回のインシデントは悪意のある活動やサイバーセキュリティインシデントによるものではないと述べています。
漏洩したデータの性質と影響
Adobeの公式発表では「誤ったデータ」とされていますが、BleepingComputerが入手した顧客向けプライベートアドバイザリによると、一部のデータフィールドが他の顧客のデータストリームからの値で上書きされたとのことです。この影響は収集されたデータの約3~5%に及び、Data Feeds、Live Stream、スケジュールされたレポート、その他の統合機能内で破損した行が発見されました。
Adobe Analyticsからデータを取り込む多くの製品も影響を受けました。これには、Customer Journey Analytics、Real-Time CDP、Adobe Journey Optimizerなどが含まれます。
Adobeからの指示と顧客への影響
アドバイザリは、影響を受けた顧客に対し、2025年9月17日12:20 UTCから9月18日11:00 UTCの間に受信したデータを、システム、バックアップ、およびダウンストリーム環境から直ちに削除またはパージするよう指示しています。これは、他のAdobe顧客からの特定のフィールド情報が含まれている可能性があるためです。
Adobeは、Analyticsプラットフォームを通じて個人データを収集することはポリシーに反すると主張していますが、顧客が常にこのポリシーに従っているわけではないとBleepingComputerは報じています。あるアナリティクスコンサルタントは、「企業Aのウェブトラッキングが企業Bの情報を表示する」ことを意味し、これにはメールアドレス、セッションハッシュ、オンサイト検索データなどの機密データが含まれる可能性があると指摘しています。
法的・プライバシー上の懸念
別の顧客は、このAdobe Analyticsのデータ漏洩がVPPA(ビデオプライバシー保護法)、CPPA(カリフォルニア州プライバシー保護法)、GDPR(一般データ保護規則)の下で潜在的なリスクを伴う重大な問題であると述べています。また、このバグにより他の顧客のデータが直接ダウンストリームのビジネスインテリジェンスシステムに書き込まれたため、バックアップ、エクスポート、およびプラットフォームを利用する他のシステムに埋め込まれてしまったことへの懸念も表明しています。
今後の対応
BleepingComputerがAdobeに説明を求めたところ、同社は公開されているステータスページを参照するのみで、それ以上の質問には回答しませんでした。Adobeは引き続きデータのクリーンアップ作業を進めており、プラットフォームが再び有効なレポートに使用できるようになり次第、顧客に通知するとしています。