TokyoBlackHatNews

bleepingcomputer.com 4分で読了

Adobe Analyticsのバグにより顧客のトラッキングデータが他のテナントに漏洩

Image

Adobeは、取り込み時のバグにより、一部の組織のデータが約1日間、他の組織のアナリティクスインスタンスに表示されていたことを、Analyticsの顧客に警告しています。

Adobeはステータスページでこの問題を公表し、2025年9月17日12:20(UTC)にパフォーマンス最適化の変更がAnalytics Edgeのデータ収集にバグをもたらしたと述べています。

ステータスページによると、この不具合により「誤った値」がAnalysis Workspaceのレポートに表示され、Adobeのエンジニアリングチームが影響を受けたデータセットのクリーンアップに取り組んでいるとのことです。

「2025年9月17日12:20(UTC)、サービス障害が発生し、Adobe Analyticsの顧客や、Adobe Analyticsデータに依存するアプリケーションに世界的な影響がありました」と、AdobeのAnalyticsに関するステータスエントリには記載されています。

「この障害は、最近行われたAdobe Analyticsデータ収集のパフォーマンス最適化変更時に導入されたバグが原因で、Analysis Workspaceレポートに誤った値が表示される結果となりました。」

このバグは、Data Collection、Media Processing、Customer Attributes、レポートアプリケーションなど、多数のAnalyticsサービスに影響を及ぼしました。

Adobeは9月18日11:00(UTC)に変更を元に戻し、このインシデントは悪意ある活動やサイバーセキュリティインシデントによるものではないと述べています。

Adobeのステータスには「誤ったデータ」としか記載されていませんが、BleepingComputerが入手した顧客向けの非公開アドバイザリには、一部のデータのフィールドが他の顧客のデータストリームの値で上書きされたと記されています。

同社によれば、これにより収集データの約3~5%が影響を受け、Data Feeds、Live Stream、定期レポート、その他の統合機能内で破損した行が発見されたとのことです。

多くの製品がAdobe Analyticsからデータを取り込んでいるため、Customer Journey Analytics、Real-Time CDP、Adobe Journey Optimizerなども影響を受けました。

アドバイザリでは、他の顧客由来の情報が含まれている可能性があるため、影響を受けたすべてのデータをシステム、バックアップ、下流環境から直ちに削除するよう顧客に指示しています。

「Data FeedsまたはLive Streamを利用しているすべての影響を受けたAdobe Analyticsの顧客は、2025年9月17日12:20(UTC)から9月18日11:00(UTC)の間に受信したすべてのデータを直ちに削除またはパージしてください。他のAdobe顧客の特定フィールド情報が含まれている可能性があります」と、BleepingComputerが確認したアドバイザリには記載されています。

「また、影響を受けた可能性のあるすべてのデータを、システム、バックアップ、および保存・処理されている可能性のある下流環境からも削除してください。」
   
「この対応は、意図せず露出した可能性のあるデータのさらなる保持や利用を防ぐために必要です。データを閲覧できた可能性がある唯一の第三者は、Adobeと契約している他の顧客のみです。」

Adobeは、Analyticsプラットフォームを通じて個人データを収集することはポリシー違反であるとしていますが、BleepingComputerは顧客が必ずしもこれらのポリシーに従っていないことを把握しています。

「つまり、A社のウェブトラッキングにB社の情報が表示されるということです。これにはB社がトラッキングしたすべての情報が含まれ、メールアドレス、セッションハッシュ、サイト内検索データなどの機密情報も含まれます」と、あるAnalyticsコンサルタントはBleepingComputerに語りました。

別の顧客は、この影響は広範囲に及ぶものであり、Adobe Analyticsのデータ漏洩はVPPA、CPPA、GDPRの下で潜在的なリスクを伴う重大な問題だと述べました。

また、取り込みバグにより他の顧客のデータが直接下流のビジネスインテリジェンスシステムに書き込まれたため、バックアップやエクスポート、プラットフォームを利用する他のシステムにも組み込まれてしまったと警告しています。

BleepingComputerは詳細を確認するためAdobeに問い合わせましたが、同社は公的なステータスページを参照するように案内したのみで、追加の質問には回答しませんでした。

Adobeは、引き続きデータのクリーンアップを進めており、プラットフォームが再び有効なレポート作成に利用できるようになった際には顧客に通知すると述べています。

翻訳元: https://www.bleepingcomputer.com/news/security/adobe-analytics-bug-leaked-customer-tracking-data-to-other-tenants/

ソース: bleepingcomputer.com
#Adobe #Adobe Analytics #CRMデータ漏洩 #GDPR #インパクト企業 #クラウドサービス #セキュリティインシデント #データ管理 #個人情報保護 #顧客情報流出

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用