「ミスター・ラッコン」というエイリアスで活動する脅威行為者が、Adobeの重大な侵害に対する責任を主張し、大量の機密企業および顧客データの盗難を主張しています。
International Cyber Digestが初めて報道したこの主張は、サイバーセキュリティコミュニティ全体で深刻な警報を引き起こしました。
報告書によると、盗まれたデータには約1300万件の顧客サポートチケット、15,000件の従業員レコード、内部会社文書、そして最も重要なことに、Adobeの全HackerOneバグ報奨金プログラム投稿が含まれています。
バグ報奨金報告書が含まれることで、この疑惑の侵害は特に深刻になります。これらの文書には、独立したセキュリティ研究者によって提出された詳細なステップバイステップの脆弱性情報が含まれているからです。
報告された脆弱性のいずれかがパッチされていない場合、悪意のある行為者はその情報を武器化してAdobeのユーザーベースに対する新しい攻撃を開始する可能性があります。
脅威行為者はAdobeのコアインフラストラクチャを直接侵害しなかったとのことです。代わりに、攻撃者はサプライチェーンのより弱いリンクを悪用しました。Adobeの顧客サポート業務を処理するための契約を結んだインドのビジネスプロセスアウトソーシング(BPO)会社です。
攻撃ベクトルは、BPO従業員に送信された悪意のあるメールから始まり、被害者のマシンに静かにリモートアクセスツール(RAT)を配備しました。
初期段階を確立した後、攻撃者は従業員のマネージャーに対してターゲット化されたスピアフィッシングメッセージを送信し、ネットワーク内でのアクセス権限をさらに深め、昇格させました。
ハッカーはさらに、リモートアクセスツールが従業員のウェブカメラフィードへの可視性を提供し、プライベートなWhatsAppメッセージの傍受を許可したと主張し、侵害の侵襲的な深さを強調しました。
おそらく最も懸念される暴露は、Adobeのサポートチケッティングプラットフォームの根本的なセキュリティ設定ミスです。脅威行為者は、エージェントが1つのバルクリクエストですべてのサポートチケットをエクスポートすることが許可されており、レート制限、アラート、または認可制御がいっさい実施されていないと述べました。
これは、単一の侵害されたエージェントアカウントが、セキュリティアラームをトリガーしたり、監督承認を必要とすることなく、数百万のレコードを静かに流出させることができることを意味します。これは、権限が過剰なアクセスと不十分なデータ損失防止コントロールの組み合わせの典型的な例です。
発行時点で、Adobeは侵害を確認または否定する公式声明を発表していません。
しかし、これらの主張が検証されれば、この事件は2026年の最も重大なデータ流出の中でも上位に位置し、サードパーティベンダーアクセスによってもたらされるシステミックリスクを浮き彫りにするでしょう。
業界全体のセキュリティチームは、これをBPOおよびベンダーアクセス権限を監査し、最小権限の原則を実行し、バルクエクスポート制限を実装し、異常な動作についてエージェントレベルのアクティビティを監視するための重大な警告として扱うべきです。
翻訳元: https://cyberpress.org/adobe-breach-threat-actor-claims-leak-of-13-million-support-tickets/