セキュリティ

120万人のWordPressユーザーのメールアドレス・パスワードがGoDaddyから流出


ドメイン登録やレンタルサーバーサービスを提供する「GoDaddy」のサービスの1つである「Managed WordPress(管理WordPress)」が攻撃を受け、最大120万人のManaged WordPressユーザーの情報が流出したと判明しました。またManaged WordPressをサービス内で提供するドメイン登録レジストラやウェブホスティング企業にも被害が拡大していると報告されています。

GoDaddy Announces Security Incident Affecting Managed WordPress Service
https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm

GoDaddy Data Breach Impacts 1.2 Million Customers
https://www.channelfutures.com/security/godaddy-data-breach-impacts-1-2-million-customers

GoDaddy Breached - Plaintext Passwords - 1.2M Affected
https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/

GoDaddy Breach Widens to tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet, and Host Europe
https://www.wordfence.com/blog/2021/11/godaddy-tsohost-mediatemple-123reg-domain-factory-heart-internet-host-europe/

GoDaddyがアメリカ証券取引委員会(SEC)に対して行った報告によると、同社の「Managed WordPress」ホスティング環境への不正なサードパティーアクセスが確認されたのは、2021年11月17日とのこと。ただちに調査が行われたところ、2021年9月16日から許可されていない第三者が脆弱(ぜいじゃく)性を利用して以下の顧客情報にアクセスしていたことが判明しました。

・Managed WordPressを利用するアクティブおよび非アクティブユーザー最大120万人のメールアドレスおよび顧客番号。メールアドレスの流出にはフィッシング攻撃の危険性が考えられる。
プロビジョニング時に設定されたオリジナルのWordPress管理者パスワード。このため資格情報が利用可能になっているものついて、GoDaddyがパスワードのリセットを実施した。
・アクティブな顧客におけるSFTPやデータベースのユーザーネーム、パスワードが流出。いずれにおいてもGoDaddyがリセットを実施した。
・一部のアクティブユーザーにおいてSSLプライベートキーが流出。対象者に向けて新しい証明書の発行とインストールが実施中。

GoDaddyの最高情報セキュリティ責任者であるDemetrius Comes氏は「事件を特定後すぐに許可されていない第三者をシステムからブロックしました」と述べています。また、追加の保護措置としてプロビジョニングシステムの強化を行っているともComes氏は述べています。


11月23日には、Managed WordPressを製品内で扱っていたtsoHostMedia Temple123 RegDomainFactoryHeart InternetHost Europeといった複数のサービスが情報流出の影響を受けていることが明らかになりました。

セキュリティ研究者であるNick Tausek氏によると、GoDaddyは過去3年で同様の情報流出を3回経験しているとのこと。GoDaddyは500万件以上のウェブサイトをホストする3万5000台のサーバーを有しており、過去に何度もサイバー攻撃を受けている経緯から、標的になりやすいとTausek氏は述べています。GoDaddyに依存してビジネスを行っている何百万人もの人々は、このような攻撃によって深刻な影響を受けます。顧客データが安全に保護されていることを保証するために、GoDaddyはサイバー攻撃の脅威を阻止する適切な制御システムを実装する必要があるとTausek氏は指摘しました。また、GoDaddyは今回の攻撃を受けてパスワードと秘密鍵のリセットを実施していますが、これでは不十分であるとモバイル決済およびID検証会社JumioのCEOであるRobert Prigge氏は述べています。

この記事のタイトルとURLをコピーする

・関連記事
自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」 - GIGAZINE

無料で自分のパスワードが過去の漏洩データに載った危険なものかどうかをチェックできるサービス「Pwned Passwords」 - GIGAZINE

10億件超の資格情報を分析して明らかになった最も利用されているパスワードは「123456」 - GIGAZINE

完璧にパスワードを設定するための4つの方法 - GIGAZINE

「なぜパスワードを記憶するべきではないのか」を簡単に説明したムービー - GIGAZINE

in セキュリティ, Posted by logq_fa

You can read the machine translated English article here.