TokyoBlackHatNews

breached.company 13分で読了

侵害を報じる媒体が侵害された

WIRED誌、1か月にわたる脆弱性開示対応の失敗の末に購読者230万件の記録が流出

2025年12月30日 – 皮肉について話そう。データ侵害を取り上げ、セキュリティの失敗を調査し、企業にユーザーデータ保護の責任を問うことでキャリアを築いてきた雑誌が、今度は自社の購読者230万人分を露出させてしまった。しかも、さらに悪い点がある。追加で4,000万件の記録が控えているというのだ。

これは単なる侵害ではない。脆弱性開示をどう扱ってはいけないかの模範例であり、組織的な沈黙に包まれ、1か月間まるごと警告しようとしたにもかかわらず無視された脅威アクターが、クリスマスのリボンを付けて届けたものだ。

時系列:1か月の沈黙

2025年11月22日、「Lovely」という別名を使う脅威アクターがDataBreaches.netのDissent Doeに連絡を取り、コンデナストのシステムに深刻な脆弱性を発見したセキュリティ研究者だと名乗った。金銭は求めていない。アカウントのプロフィールを露出させ、攻撃者がユーザーのパスワードを変更できてしまう可能性のある6つのセキュリティ欠陥を報告したかったのだ。

脆弱性は根本的なものだった。安全でない直接オブジェクト参照(IDOR)と、破綻したアクセス制御の組み合わせ。要するに? 誰でもユーザーIDを順番に試すロッカーの暗証番号のように総当たりし、認証チェックなしでプロフィールデータを引き出せてしまう。セキュリティの基礎中の基礎であり、コンデナストはそれを見事に失敗していた。

Lovelyはあらゆる手段を試した:

  • コンデナストのセキュリティチームへの直接メール
  • WIREDの記者経由での連絡の試み
  • セキュリティ系ブロガーへの協力要請

反応は? なしのつぶて。

コンデナストにはsecurity.txtファイルすらなかった。これはRFC 9116で推奨される、脆弱性報告を受け取るための基本的な仕組みだ。明確な開示プロセスもない。監視されるセキュリティ用メールアドレスもない。あるのは組織的な沈黙だけだった。

1か月にわたる責任ある開示の試みの末、Lovelyは諦めた。2025年12月20日、彼らはWIREDのデータベースを新設されたBreach Starsハッキングフォーラムに投稿し、「クリスマスの石炭の塊」と呼んだうえで、コンデナスト帝国全体からさらに4,000万件の記録が続くと約束した。

何が流出したのか

流出したWIREDのデータベースには合計2,366,576件のレコードが含まれ、ユニークなメールアドレスは2,366,574件だった。Hudson Rockの研究者は、RedLineおよびRaccoon感染によるインフォスティーラーマルウェアのログと突合し、侵害されたユーザーと流出データベースの間に高い確度の重複があることを確認して、データの真正性を検証した。

露出した内容は以下のとおり:

メールアドレス:ユニーク2,366,574件(総レコード2,366,576件)
氏名:284,196件(全体の12.01%)
自宅住所:194,361件の住所(全体の8.21%)
電話番号:32,438件(全体の1.37%)
誕生日:67,223件(全体の2.84%)
完全なプロフィール:1,529件(0.06%)—氏名、誕生日、電話、住所、性別を含む
追加データ:ユーザーID、表示名、アカウント作成日(1996〜2022年)、更新タイムスタンプ、最終セッションデータ

最新のエントリは2025年9月9日付で、稼働中で実際に使用されているライブなデータベースから取得されたことを示している。

特筆すべき点:パスワードと決済カード情報は含まれていない。だが誤解してはならない—ここにある情報だけで標的型攻撃には十分すぎる。

技術的な失敗

悪用された脆弱性は、アクセス制御の破綻の教科書的な例だった:

IDOR(Insecure Direct Object Reference:安全でない直接オブジェクト参照):攻撃者はユーザーIDパラメータを順に変えるだけでユーザープロフィールをスクレイピングできた。たとえばユーザーID 12345が通るなら、12346は? 12347は? という具合だ。システムには、認証済みユーザーが要求された各プロフィールにアクセスすべきかどうかを検証するチェックがなかった。

破綻したアクセス制御:重要なアカウント管理エンドポイントに適切な認可チェックが欠けていた。報告によれば、攻撃者は適切な認証なしに、コンデナストの集中型アイデンティティシステム全体でメールアドレスやパスワードを閲覧し、場合によっては変更できた可能性がある。

これは高度なものではない。根本的に壊れたアーキテクチャであり、基本的なセキュリティテストで検出されるべき種類の脆弱性だ。

より大きな構図:4,000万件の記録が危険にさらされている

WIREDは始まりにすぎない。Lovelyは、主要ブランドにまたがる4,000万人超のユーザーをカバーする、コンデナストの集中型アカウントシステムへのアクセスを主張している:

  • The New Yorker:680万アカウント
  • SELF:200万超のアカウント
  • GQ、Vogue、Vanity Fair:さらに数百万
  • 「NIL」(未特定):950万アカウント

コンデナストは、各出版物にまたがって共通のアイデンティティおよび購読管理プラットフォームを運用している。この集中型システムの1つの脆弱性が、傘下のすべてのブランドを潜在的に侵害し得た。

脅威アクターは、これら追加データセットを「今後数週間にわたって」公開すると約束している。もし実行されれば、メディア業界史上最大級の侵害の一つになる可能性がある。

耳をつんざくコンデナストの沈黙

2025年12月30日現在—最初の流出から10日後—コンデナストは:

  • 公的声明を一切出していない
  • 侵害を認めも否定もしていない
  • 影響を受けたユーザーに警告していない
  • パスワードリセットを強制していない
  • BleepingComputer、SecurityWeek、その他メディアからの問い合わせに回答していない

データはすでにHave I Been Pwnedにインデックスされている。ユーザーは、情報を託した企業からではなく、セキュリティブログや侵害通知サービスから自分が侵害されたことを知っている。

この沈黙は、慎重な法的配慮ではない。評判の毀損が日々積み上がっているだけだ。

驚くべき皮肉

WIREDは企業のセキュリティ失敗について数え切れないほどの記事を掲載してきた:

  • Equifax、Target、Yahooの侵害報道
  • CISOへの「ベストプラクティス」インタビュー
  • 脆弱性開示の失敗に関する調査記事
  • 企業がユーザーデータ保護に失敗する構造の分析

そして、セキュリティ研究者が1か月かけて自社の脆弱性を警告しようとしたとき? 誰も応答しなかった。

他社のセキュリティ失敗に責任を問う出版物が、自社システムを守れなかった。侵害を次々に報じる雑誌が、脆弱性報告を受け取るプロセスすら持っていなかった。責任ある開示についての論考を掲載する媒体が、責任ある開示への対応で失敗した。

不穏なパターンの一部

WIREDだけではない。2025年はメディア組織にとって苛烈な年だった:

9月には、BBCのサイバー担当特派員Joe TidyがMedusaランサムウェアギャングから直接接触を受け、内部アクセスの見返りに身代金支払いの25%(数千万に達する可能性)を提示された。勧誘が失敗すると、犯罪者は彼のアカウントに対してMFAボミング攻撃を試みた。ランサムウェア攻撃を報じるBBCが、ランサムウェアの標的になったのだ。

The Washington PostはOracle E-Business Suiteの脆弱性を通じて侵害を受け、購読者データが露出した。他者のセキュリティ失敗を報じるもう一つのメディア巨人が、自らの問題に苦しんだ。

日経(日本のメディア・コングロマリット)は8月、インフォスティーラーマルウェアにより17,368件のSlack認証情報が侵害された。過去6年で3度目の大規模侵害である。

パターンは明白だ。他者の失敗を調査することを基盤とするメディア組織が、基本的なセキュリティ衛生で体系的に失敗している。そしてWIRED同様、多くが透明性ではなく沈黙で応じている。

何が問題だったのか:事後分析

この侵害は、複数の失敗が連鎖した結果である:

1. 脆弱性開示プロセスがない
security.txtがない。監視されるセキュリティ用メールがない。バグバウンティもない。数百万のユーザーアカウントを扱う数十億ドル規模のメディア・コングロマリットとして、弁解の余地はない。

2. 根本的なセキュリティアーキテクチャの欠陥
IDORとアクセス制御の破綻の組み合わせは、セキュリティが設計段階から組み込まれていなかったことを示唆する。これはゼロデイではなく、セキュリティ基礎の失敗だ。

3. 適切な分離のない共有インフラ
複数ブランドにまたがる集中型アイデンティティ基盤により、1つの脆弱性がすべてを侵害し得た。適切なセグメンテーションや多層防御があった証拠はない。

4. 組織の麻痺
脆弱性報告が届いても、官僚的なブラックホールに消えた。WIREDのセキュリティチームが最終的に関与した後でさえ(第三者の介入後にようやく)、組織は適切な緊急性で行動できなかった。

5. コミュニケーションの崩壊
流出から10日経っても、影響を受けたユーザーは通知を受けていない。これはインシデント対応の基本原則—早く、頻繁に、正直に伝える—に反する。

現実世界への影響

露出したデータは深刻なリスクを生む:

標的型ドクシング:194,361件の自宅住所が公に利用可能となり、デジタル上の身元と物理的所在地が結び付けられる。嫌がらせ、脅迫、さらに深刻な被害を可能にする。

スワッティングの可能性:氏名・住所・ブランドとの関係性の組み合わせは、危険なスワッティング攻撃に悪用され得る。

スピアフィッシング:攻撃者は正当な購読者情報とブランド固有の文脈を使って、極めて標的化されたフィッシングを作れる。「WIRED購読者様、アカウントで不審な活動を検知しました…」は、攻撃者が実際に購読情報を持っていると格段に説得力が増す。

クレデンシャル・スタッフィング:パスワードがなくても、メールアドレスがあれば、他のプラットフォームで使い回された認証情報を試せる。

二次攻撃:約束された4,000万件の記録が現実になれば、Vogue、The New Yorker、Vanity Fair、その他すべてのコンデナスト資産にわたってリスクが増幅する。

脆弱性開示のジレンマ

この侵害は、脆弱性開示における根本問題を浮き彫りにする:企業が応答しない場合、どうなるのか?

Lovelyは正しいことをしようとした:

  1. 脆弱性を発見
  2. 責任ある開示を試みる
  3. 第三者に証拠を提示
  4. 返答を待つ
  5. さらに待つ
  6. 別の連絡手段を試す
  7. それでも沈黙

どの時点で「責任ある開示」は「不作為による害の助長」になるのか? コンデナストが即座に対応していれば、静かな修正の話で済んだかもしれない。だが現実には、数百万人に影響する公然たる侵害になった。

セキュリティコミュニティには、企業が脆弱性報告を無視した際の、より良いエスカレーション手段が必要だ。Lovelyのアプローチ—データをダウンロードし、流出を示唆する—は倫理的な一線を越えている。しかし、コンデナストの1か月の沈黙が、ここに至る条件を作った。

組織への教訓

ユーザーデータに責任を持つ立場なら、コンデナストの失敗から学ぶべきことは次のとおりだ:

基本的な開示インフラを整備する
/.well-known/security.txtにsecurity.txtを設置する。監視されるsecurity@メールを用意する。明確なSLAを定義する:24時間以内に受領確認、72時間以内にトリアージ、7日以内に修正タイムライン提示。

適切なアクセス制御を実装する
すべてのAPIエンドポイントに認可チェックが必要だ。IDの秘匿性に依存してはならない。各リクエストで、認証済みユーザーが特定リソースへアクセスする権限を持つことを検証する、オブジェクトレベルの認可を実装する。

開示プロセスをテストする
セキュリティ研究者が、実際に行動できる担当者へ到達できるか? それともブラックホールに消えるのか? 定期的にテストすべきだ。

インシデント対応を準備する
法務と広報を事前に整合させておく。侵害が起きたとき(起きるかどうかではなく)、最初の1時間が重要だ。コンデナストの10日間の沈黙は組織的な職務怠慢である。

インフラを分離する
適切な隔離なしに、すべてのブランドを1つの集中型プラットフォームに載せてはならない。多層防御とは、1つの脆弱性がすべてを侵害しないことを意味する。

ユーザーは何をすべきか?

WIREDまたはコンデナストのいずれかの出版物を購読したことがあるなら:

  1. Have I Been Pwnedを確認:haveibeenpwned.comでメールアドレスを検索し、侵害に含まれているか確認する
  2. パスワードを変更:複数サイトで同じパスワードを使っていたなら、直ちにすべて変更する
  3. 2FAを有効化:SMSではなく、ハードウェアセキュリティキーや認証アプリを使う
  4. フィッシングに警戒:流出情報を使った高度に標的化されたスピアフィッシングを想定する
  5. 金融口座を監視:決済データは露出していないが、流出した個人情報はなりすましの試みに利用され得る
  6. 信用監視を検討:氏名と住所の露出の組み合わせは、他の詐欺を可能にする

結論

WIREDは侵害された。データ侵害を報じる雑誌が侵害された。セキュリティ失敗で他者に責任を問うことで信頼を築いてきた出版物が、自社の購読者データベースを守れず、脆弱性報告にも対応できなかった。

技術的な脆弱性は基本的なものだった。開示プロセスは存在しなかった。組織の対応は沈黙だった。そして230万人の購読者は、情報を託した企業からではなく、セキュリティブログから自分が侵害されたことを知った。

セキュリティ失敗を報じる機関がセキュリティ失敗そのものになるとき、それは皮肉にとどまらない—ユーザーデータを扱うあらゆる組織への警鐘である。

コンデナストはいまだ声明を出していない。追加の4,000万件の記録はまだ控えている。そしてどこかで、正しいことをしようとしたにもかかわらず無視された苛立ちのセキュリティ研究者が、本来なら理解しているはずの企業が責任あるデータ管理のあらゆるテストに落ちていくのを見ている。

皮肉は自ずと書き上がる。しかし本当の物語は皮肉ではない—この侵害が示す、基本的なセキュリティ実践、組織的説明責任、ユーザー保護の体系的な失敗である。

WIREDの侵害は、2025年にメディア組織がセキュリティ失敗に見舞われた不穏なパターンの一部だ:

BBC記者、Medusaランサムウェアギャングに内部勧誘の標的に – 2025年9月、BBCのサイバー担当特派員Joe Tidyは、BBCシステムへの内部アクセスの見返りに身代金支払いの25%(数千万に達する可能性)を提示するMedusaランサムウェアギャングから直接接触を受けた。勧誘が失敗すると、犯罪者はMFAボミング攻撃を試みた。この事例は、ランサムウェア組織がメディア内部者を体系的に勧誘していることを示している。

ワシントン・ポスト、Oracle E-Business Suite大規模侵害キャンペーンの最新被害者に – ワシントン・ポストはOracleのE-Business Suiteの脆弱性を通じてデータ侵害を受け、購読者データと運用データが露出した。WIRED同様、他組織のセキュリティ失敗を報じることで評判を築いた後、自らが被害者となった。

日経、インフォスティーラーマルウェアによりSlack侵害:17,000ユーザーが露出 – 日本の大手メディア企業である日経は、2025年8月にインフォスティーラーマルウェアによって17,368件のSlack認証情報が侵害され、過去6年で3度目の重大な侵害となった。このインシデントは、メディア環境におけるコラボレーションプラットフォームの脆弱性を露呈した。

これらのインシデントは共通点を示している。サイバーセキュリティを報じるメディア組織が、基本的なセキュリティ衛生、脆弱性開示プロセス、インシデント対応において苦戦しているのだ。データ保護の失敗で他者に責任を問うと信頼される機関が、自らの購読者情報を守れずにいる。

侵害分析とCISO向けインテリジェンスをさらに読む:

更新状況:本件は進行中のニュースである。コンデナストは複数のメディアからの問い合わせに回答していない。データは侵害フォーラムで引き続き公開されており、Have I Been Pwnedにインデックスされている。

開示:本分析は、セキュリティ研究者、侵害フォーラム、ならびにHudson Rock、BleepingComputer、SecurityWeekなど信頼できる情報源による技術分析を含む公開情報に基づく。著者はCISO Marketplaceを運営しており、コンデナストまたはWIREDとの取引関係はない。

翻訳元: https://breached.company/the-publication-that-reports-on-breaches-just-got-breached/

ソース: breached.company
#Condé Nast #Have I Been Pwned #IDOR #WIRED #アクセス制御不備 #インシデント対応 #サイバーセキュリティ #個人情報流出 #情報漏えい #脆弱性開示

関連記事

サードパーティのメールベンダーが侵害され、Flickrの3,500万人のユーザーデータが流出

フリード・フランクのデータ侵害でJPMorganとゴールドマン・サックスのプライベート・エクイティ投資家を含む46,000人超が露出:ウォール街のエリート法律事務所が大手銀行顧客にとっての「負債」に

SoFi Technologiesのデータ侵害で数万人分が流出:フィンテック利用者が知っておくべきこと