- SoundCloudが不正なシステムアクセスとデータ侵害を確認
- ユーザーの約20%でメールアドレスと公開情報が盗まれた
- 情報筋は攻撃がShinyHuntersによって実行されたと主張
SoundCloudは、ユーザーベースのおよそ5分の1に関する機微なデータを失うサイバー攻撃を受けたことを確認しました。
SoundCloudは自社サイトに掲載したデータ侵害通知の中で、付随サービスのダッシュボードにおいて「最近」不正な活動を検知したと述べました。
その後の調査で、「脅威アクター集団」が特定のデータにアクセスしたことが判明しました。内容は主にユーザーのメールアドレスと、SoundCloudの公開プロフィール上で確認できる情報です。同社は、この侵害がユーザーのおよそ20%に影響したとしており、複数の情報源によれば約2,800万人に相当します。
VPNの問題
「当社が保有する一部の限定的なデータに、脅威アクター集団とされる者がアクセスしたことを把握しています」と同社は述べました。
「影響を受けたデータについての調査は完了しており、機微なデータ(金融情報やパスワードデータなど)へのアクセスはありませんでした。関与したデータはメールアドレスと、すでにSoundCloudの公開プロフィールで表示されている情報のみで、SoundCloudユーザーのおよそ20%に影響しました。」
SoundCloudは分析と封じ込めを支援するために外部のサイバーセキュリティ企業も起用し、脅威が排除された後、攻撃者が複数回のサービス拒否(DoS)攻撃を行ったと述べました。そのうち2回は成功し、ウェブ上でのSoundCloudの利用可能性が一時的に無効化されました。
VPN経由でプラットフォームにアクセスするユーザーにも問題が発生しました。CyberInsiderによると、SoundCloudは世界的に利用可能である一方、特定の地域では制限があるため、一部のユーザーにとってVPNが不可欠だということです。
そうしたユーザーは、この方法で接続しようとすると「403 ERROR – The request could not be satisfied(403エラー – リクエストを満たせませんでした)」というメッセージが表示されていました。当初ユーザーは、ジオブロッキング(地域制限)やIPフィルタリングの変更が原因だと考えていましたが、後にこれは侵害後にSoundCloudが実施したセキュリティ強化措置によるものだと説明されました。
詳細は説明されていないものの、変更によってフィルタリングルールやWebアプリケーションファイアウォール(WAF)のポリシーが変わった可能性があります。SoundCloudは現在、この問題の修正に取り組んでいると述べました。
同社はこの攻撃の背後にいる脅威アクターの名称を明かしませんでしたが、メディアは、暗号化の工程を避けてデータの持ち出しのみに注力することで知られるランサムウェア集団ShinyHuntersの犯行だと報じています。同集団は現在、SoundCloudと身代金の支払いについて交渉していると伝えられていますが、この情報は公には確認されていません。
