ニュースレタープラットフォームのSubstackは、セキュリティインシデントが発生し、ユーザーのメールアドレスと電話番号が漏えいしたことを確認した。
SubstackのCEOであるクリス・ベスト氏は、2月5日に一部のユーザーに送信されたメールで、データ侵害についてユーザーに通知した。
CEOによると、同社のセキュリティチームは2月3日にこのインシデントを検知し、「当社のシステムに問題があることを示す証拠が見つかり、許可なく不正な第三者が限定的なユーザーデータ(メールアドレス、電話番号、その他の内部メタデータを含む)にアクセスできてしまった」と気づいたという。
また、クレジットカード番号を含む金融情報やパスワードにはアクセスされていないとも付け加えた。
ベスト氏はさらに、データの収集は2025年10月に行われたと説明し、Substackのセキュリティチームが現在は「この事態を可能にしたシステム上の問題を修正した」と主張した。インシデントに関する追加情報は提供されなかった。
Substackは現在、全面的な調査を実施しており、今後同様の問題が発生しないよう、当社のシステムとプロセスの改善に向けた措置を講じている。
Infosecurityの取材に対し、Substackの広報担当者は、不正な第三者が「短い時間帯」に限定的なアカウント情報へアクセスできたと述べた。
「把握した時点で問題に対処し、追加の安全対策を導入しました。セキュリティシステムやプロセスの詳細は共有できませんが、問題は解決したことを確認できます」と付け加えた。
インシデントに関する追加情報は提供されず、SubstackのCEOは影響を受けたユーザー数を明らかにしなかったほか、侵害発生から4か月後にしか検知されなかった理由についても説明しなかった。
Substackは、2025年3月時点で有料500万件を含む5,000万件超のアクティブな購読があると報告している。
KnowBe4のリード・セキュリティ啓発アドボケイトであるジャバド・マリク氏は、透明性のある侵害通知は「常に称賛されるべき」だとしつつも、今回の通知は「詳細がやや乏しく、人々がリスクを正確に判断し、具体的な行動を取る助けにならない」と述べた。
「『限定的なユーザーデータ』という表現は特に曖昧です。メールアドレスと電話番号だけでも、標的型フィッシング、SIMスワップの試み、あるいはドクシングに十分です。たとえパスワードにアクセスされていなくても、攻撃者はユーザーをソーシャルエンジニアリングできるならパスワードは必要ありません」とマリク氏は語った。
「タイムラインは重要です。2025年10月にデータへアクセスされていたのに、今になってようやく開示されたのであれば、潜伏期間が長いということです。だからといってSubstack側の過失だと言うつもりはありません。検知は難しい場合がありますから」とマリク氏はコメントした。「しかし、影響を受けたユーザーには、侵害がどのように特定されたのか、当初どの監視コントロールが検知に失敗したのか、そして最も重要な点として、その結果何が変わるのかについて、より明確な説明を受ける権利があります」
Pixel Privacyの消費者プライバシー擁護者であるクリス・ホーク氏は、Substackユーザーに対し、予期しないメッセージ、メール、電話に対応する際は「いっそう注意する」よう促した。一方、Comparitechの同じく消費者プライバシー擁護者であるポール・ビショフ氏は、「標的型フィッシングメールや詐欺に警戒すべきだ」と強調した。
画像クレジット: Azulblue / Shutterstock
翻訳元: https://www.infosecurity-magazine.com/news/substack-confirms-data-breach/
