カナダの市場調査会社「Klue」は、2022年に試験運用で使用された古い認証情報がサイバー攻撃に悪用され、顧客企業のデータが流出する被害が起きたと発表しました。
Klueによりますと、今月12日にシステムの不正アクセスを検知しました。ハッカーは、パスワード管理ソフトを提供する「LastPass」など、複数のサイバーセキュリティ企業を含む顧客のデータを盗み出したということです。
ハッカーはKlueのシステムに侵入し、顧客が別のクラウドやデータベースに保存しているデータにアクセスするための鍵(OAuthトークン)を取得し、データをダウンロードしたとみられています。
Klueの広報担当者は、ハッカーが悪用した認証情報について、「2022年に限定的な試験運用を行うため、外部の企業に提供されたものだった」と説明しています。しかし、試験運用の目的や期間、外部企業の名称、そしてなぜ試験終了後に認証情報が無効化されなかったのかについては、明らかにしていません。
このため、同社が長年にわたり古い認証情報を放置していた可能性が指摘されており、セキュリティ管理の体制に疑問の声が上がっています。
現在、同社は被害の詳しい状況について調査を続けているということです。また、再発防止に向けて、認証情報の管理や外部業者のアクセス制御、監視機能などの包括的な見直しを進める方針です。
一方、「Icarus」と名乗るハッカー集団が犯行声明を出しており、身代金が支払われなければ盗み出したデータを公開すると脅迫しています。これに対し、Klueはハッカーとの接触の有無や、身代金を支払う方針かどうかについては言及していません。
