TokyoBlackHatNews

esecurityplanet.com 4分で読了

Condé Nastのデータ侵害でWIREDの購読者記録230万件が流出

WIREDに関連するデータ侵害により、230万件を超える購読者記録が露出しました。 

この事件は2025年12月25日、脅威アクター集団がCondé Nastのシステムから直接スクレイピングしたと主張するデータベースを公開したことで公になりました。 

研究者らは「…世界的なインフォスティーラー感染ログの中で、wired.comの正当な購読者認証情報を特定した」と述べています

WIRED侵害で露出したデータ

流出したデータセットには、約230万件のメールアドレス、約28万6,000件の購読者氏名、10万件を超える住所、3万2,000件超の電話番号が含まれています。 

記録はJSON形式で、ユーザーID、2011年から2022年にわたるアカウント作成日、そして2025年9月8日までの活動タイムスタンプが含まれています。 

BreachForumsおよびBreach Starsに投稿されたスクリーンショットは、データがVogue、Vanity Fair、GQ、Architectural Digestを含むCondé Nastの各媒体間で共有されていることを示唆しています。

Hudson Rockのセキュリティ研究者は、RedLineおよびRaccoonのインフォスティーラーログと相関させることでWIREDのデータの真正性を検証し、過去に侵害された認証情報との高い重複を特定しました。 

初期の流出にはパスワードや決済カード情報は含まれていませんでしたが、露出した個人を特定できる情報(PII)により、フィッシング、アカウント乗っ取り、ドクシング、ソーシャルエンジニアリング攻撃のリスクが高まります。

侵害の背後にあるIDORとアクセス制御の不備

研究者の分析によると、この侵害はInsecure Direct Object References(IDOR)に起因していました。これは、アカウントIDやプロフィールIDなどユーザーが操作可能な識別子を改変するだけで、攻撃者がバックエンドのオブジェクトにアクセスできてしまうアクセス制御上の欠陥の一種です。 

このケースでは、購読者プロフィールが予測可能な連番の識別子でインデックス化されており、列挙(enumeration)の対象になりやすい状態でした。

攻撃者はこれらのIDを体系的に反復することで、基盤となるアプリケーション・プログラミング・インターフェース(API)にクエリを投げ、大量の購読者記録を取得できました。 

バックエンドが認可チェックを一貫して強制できていなかったため、データを返す前に、要求者が各プロフィールへアクセスする権限を有しているかを適切に検証できていませんでした。  

このリスクは、アカウント管理エンドポイントにおけるアクセス制御の破綻によってさらに増幅しました。 

研究者は、プロフィール更新を扱う特定のエンドポイントに十分な認証・認可の保護策が欠けていたと報告しています。 

その結果、未認証のユーザーが機微な購読者データを閲覧できるだけでなく、場合によってはメールアドレスやパスワードなどのプロフィール属性を変更できました。  

これらの弱点が組み合わさり、攻撃者は完全な認証フローを完了することなく、大量のデータを流出(持ち出し)させることが可能になりました。

不正利用に対するアイデンティティシステムの強化

以下の対策は、セキュリティチームがアカウントシステムを強化し、影響範囲(ブラスト半径)を抑え、不正利用を検知するために取れる行動を示しています。

  • IDOR型のアクセスや不正なデータ露出を防ぐため、すべてのアカウントおよびプロフィールAPIに対してオブジェクトレベルの認可を監査し、強制する。
  • レート制限、リクエストのスロットリング、APIゲートウェイまたはWAFルールを実装し、大規模な列挙やスクレイピング活動を検知・遮断する。
  • 連番の識別子を推測困難なオブジェクトIDに置き換え、共有されたアイデンティティシステムを分割して攻撃対象領域と影響範囲を縮小する。
  • ログインおよび機微なアカウント操作(メール変更、パスワードリセット、プロフィール更新など)に多要素認証を必須化する。
  • アイデンティティサービスの監視とログ記録を強化し、異常なアクセスパターンを特定する。

これらの対策を組み合わせることで、標的型および大規模な不正利用の双方に対して、アイデンティティおよびアカウントシステムのレジリエンスを高めることができます。

アイデンティティのスケールがセキュリティリスクになるとき

この事件は、デジタル出版やSaaS環境に共通するリスクを改めて示しています。中央集約型のアイデンティティアーキテクチャは効率とスケールをもたらす一方、ひとたびアクセス制御の弱点が生じると、その影響を増幅し得ます。   

こうした失敗は、高度な攻撃手法というよりも、認可の強制が一貫していないことに起因する場合が少なくありません。

その結果、多くの組織は暗黙の信頼を排除し、アイデンティティおよびアクセス層全体で認可を一貫して強制するために、ゼロトラストアーキテクチャへの移行をますます検討しています。

翻訳元: https://www.esecurityplanet.com/threats/2-3m-wired-subscriber-records-leaked-in-conde-nast-data-breach/

ソース: esecurityplanet.com
#APIセキュリティ #Condé Nast #IDOR(不安全な直接オブジェクト参照) #WIRED #アクセス制御の不備 #インフォスティーラー(RedLine・Raccoon) #サブスクライバー情報 #データ侵害 #フィッシング・アカウント乗っ取りリスク #個人情報漏えい(PII)

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布