- Flickrは2026年2月の侵害を確認。第三者のメールプロバイダー経由で顧客の個人情報(PII)が流出
- 盗まれたデータには氏名、メールアドレス、ユーザー名、アカウント種別、IP、所在地が含まれる。パスワードと金融情報は影響なし
- 同社はフィッシングのリスクを警告。Flickrは190か国で月間3,500万人のユーザーを抱えるため、世界的な影響が見込まれる
人気の画像共有サイトFlickrは、第三者によるサイバー攻撃を受け、未公表の人数の顧客に関する機微なデータを失ったことを確認した。
The Registerの記者が確認した顧客向けのメール通知で、Flickrは攻撃の原因が、名称を明かしていない第三者のメールサービスプロバイダーにあると述べた。攻撃は2月5日に発生し、「数時間以内」に検知されたという。
ハッカーは排除され、脆弱なエンドポイントは隔離され、以後のアクセスは遮断された。関係当局およびデータ保護当局、ならびに顧客には通知済みだという。Flickrはまた、第三者のメールサービスプロバイダーが調査を開始し、詳細を共有することを期待していると述べた。
迫り来るフィッシング
「当社は徹底的な見直しを行い、第三者プロバイダーとのセキュリティ対策を強化しています」とFlickrのメールには記されていた。「関係するデータ保護当局に通知しました」
犯人は人々の氏名、メールアドレス、ユーザー名、アカウント種別、IPアドレス、おおまかな所在地を盗んだが、具体的なデータの組み合わせは人によって異なるという。パスワードや金融データは取得されていないとも付け加えた。
Flickrは顧客に対し、受信するメールメッセージ、特に画像共有企業を名乗るものに注意するよう警告した。
またメールでは、欧州および米国のデータ保護当局へのリンクも共有しており、The Registerはこれを、今回のハッキングが複数地域に影響している可能性が高い兆候だと解釈した。Flickrは結局のところグローバルブランドであり、190か国でサービスを提供し、月間ユーザー数は3,500万人を超えるとされる。
現時点では、攻撃の犯行声明を出した脅威アクターはおらず、盗まれたデータもまだダークウェブで販売・宣伝されていない。サイバー犯罪者はこの個人情報(PII)を使って、カスタマイズされたフィッシング攻撃を仕掛けることができる。例えば、支払いが行われるまで、あるいは支払い情報が「確認」されるまでアカウントを停止するとFlickrが言っている、と主張し、ユーザーをだましてこうした機密情報を共有させる可能性がある。
そのため、ユーザーは受信するメールメッセージを開く際には、普段以上に注意すべきだ。
