発生した事態

2013 年 10 月 3 日、弊社は公開のブログ記事で、弊社ネットワークに対する巧妙な攻撃があったことをお知らせしましたが、この攻撃では顧客情報および多数のアドビ製品ソースコードへの不正アクセスがありました。これらの攻撃には関連性があると考えられます。 当社では引き続き、外部パートナーや警察当局とも協力して、事態への対応に懸命に取り組んでいます。 当社は危険にさらされていると思われるアカウントの有効な電子メールアドレスを所有しているすべてのユーザーに対して、すでにお知らせの送信を完了しています。

私はその影響を受けているのですか?

このセキュリティの問題に私自身のAdobe IDと現在のパスワードが含まれているかどうかを知る方法を教えてください。

当社は、攻撃者により盗まれたデータベースに含まれていた現在の資格情報 (暗号化された有効なパスワードに紐付けされた Adobe ID アカウント) を持つすべてのユーザーのパスワードをリセットしました。 このことについては、次の 2 つの方法でユーザーに通知しております。

  • 盗まれたデータベースに含まれていた資格情報を持つすべてのユーザーに電子メールによる通知を送信しました。 通知の送信は優先順位に従って、最初にアクティブなユーザーに対して、次に非アクティブなユーザーおよび影響のあったデータベース内のパスワード(現在はすでに存在していません)を所有していたユーザーに対して行いました。 非アクティブなユーザーおよびデータベース内にパスワードが保管されていたユーザーに対してお知らせした理由は、これらのユーザーが他の Web サイトで同じユーザー ID とパスワードを使用している可能性があるからです。
  • お客様のパスワードがリセットされた場合は、お客様は次回に Adove ID アカウントにログインしようとしたときにログイン画面でパスワードリセット通知をすでに受け取っていたまたはこれから受け取ることになります。 ログインの際にパスワードの変更を促されなかった場合、お客様の現在の資格情報は盗まれたデータベースに含まれていなかったことになります。

任意のアドビサービスでパスワードを変更したい場合は、いつでも変更することができます。 Adobe IDパスワードの変更.

見つけたWebサイトでは、私のアドビアカウントが危険にさらされているとのことですが、アドビからのパスワードのリセット通知や電子メールを受け取っていません。 私のアカウントは危険なのですか?

Adobe IDとパスワードが盗まれたかどうかを「検証」し、パスワードの変更を求める複数のウェブサイトが最近現れたことを当社は確認しています。 特定のユーザー ID が危険な状態にあるかどうかを判断する情報に関して、これらのサイトは信頼できるソースではありません。 攻撃者によって盗まれたデータベースはバックアップシステムのものでした。このバックアップシステムには期限切れのレコードが多く含まれており、破棄される予定でした。 攻撃者によって盗まれたバックアップデータベースの多くのレコードはパスワードを含んでいないか、含まれている場合でも現在のパスワードではありません。 アドビのレコード認証システムは、お客様のパスワードをハッシュとソルトで暗号化しており、これらのサイトが使用しているデータベースのソースではありません。

お客様の電子メールアドレスをこれらのウェブサイトと共有することはお勧めしません。 少なくともこれらのいくつかのサイトは有効な電子メールアドレスを手に入れてスパムやフィッシングに利用することを目的としています。

ユーザーIDと現在のパスワードにアクセスされていた場合、自分のログイン資格情報を保護する方法について教えてください。

盗まれたデータベースにお客様のAdobe IDと現在のパスワードが含まれていた場合、お客様のパスワードはすでに当社がリセットしました。 元のパスワードを他のサイトでも使用している場合、ただちに他のサイトのパスワードも変更してください。 また、パスワードのベストプラクティスに従い、新しいパスワードを安全なものにすることもお勧めいたします。

  • パスワードは再利用しないでください。Adobe ID アカウントのパスワードは、Adobe ID アカウントのみに使用してください。以前Adobe IDに使用したパスワードまたは他のウェブサイトで使用しているパスワードを再利用しないでください。
  • パスワードは推測されにくいものにしてください。パスワードは最低 8 文字以上のものにしてください。大文字 (A-Z)、小文字 (a-z)、数字 (0-9)、特殊文字 (# $ % & - _ { }) など、複数の文字セットの組み合わせをパスワードに含めてください。 名前やAdobe IDの全体またはその一部をパスワードに使用しないでください。

ご対応のお願い

  • お客様の Adobe ID およびパスワードが上記の問題に巻き込まれた場合:アドビは既にパスワードをリセットしています。パスワードの変更方法を記載したお知らせが電子メールでアドビから送られてきたことと思います。 当社では、Adobe ID およびパスワードが関わっていたお客様にすでに通知しており、その処理がすでに進行しております。
  • パスワードの変更:パスワードをこれまで使用したことのないものに変更してください。アドビがリセットをする以前に使用されていたパスワードに戻そうとしても、そのパスワードは機能しません。 まだ通知を受け取っていなくても、任意のアドビサービスでパスワードを変更したい場合は、いつでも変更することができます。 Adobe IDパスワードの変更.
  • 特定のアドビサービスのパスワードと ID: Adobe ID は、EchoSign、Behance、TypeKit、Marketing Cloud、および Connect Pro に関連付けられたユーザー ID とログインとは別のシステムです。Adobe IDとこれらのサービスのいずれかで同じパスワードを使用している場合は、そのサービスのパスワードも変更してください。
  • 他の Web サイト:予防措置として、Adobe ID とパスワードと同じユーザー ID とパスワードを使用している可能性のある Web サイトでは、パスワードを変更することを強くお勧めします。
  • 不正な電子メール「フィッシング」攻撃に対する保護対策:パスワードの変更を促す電子メールを受信し、それが信頼できるものかどうかわからない場合は、電子メールに記載されているリンクはクリックしないでください。その代わりに、ブラウザーに www.adobe.com/go/passwordreset_jp と入力してください。フィッシングの詳細については、インシデント対応を参照してください。

よくある質問

攻撃者は具体的にどの情報にアクセスしましたか?

調査により現在のところ、攻撃者は当社のシステム上にあるアドビの顧客IDおよび暗号化されたパスワードにアクセスしたことが分かっています。 また、攻撃者が 310 万人分の顧客情報の一部をシステムから持ち去ったと考えています。持ち去られた情報には、顧客名、暗号化されたクレジットカードまたはデビットカードの番号、有効期限、および顧客注文に関連するその他の情報が含まれていました。 現時点で、攻撃者が当社システムから、暗号が解読されているクレジットカードまたはデビットカードの番号を持ち去ったとは考えておりません。

当社は、多数のアドビ製品のソースコードへ不正なアクセスが行われた可能性についても調査を行っております。 最新の調査結果から、この事態が原因で、お客様が何か特定の危険にさらされるようなリスクが高まるという事実はありません。

どのようにしてこの事態に気付きましたか?

アドビのセキュリティチームが通常のセキュリティモニタリングを行っているときに、不審な動作に気付きました。

この事態はどのように発生しましたか?

現在調査中です。 サイバー攻撃は、今日のビジネス環境における残念な現実の1つです。 アドビ製品の数や利用の増加に伴い、サイバー攻撃の標的になる可能性も高くなります。

アドビはどのような対応を行いましたか?

当社は予防策として直ちに、攻撃者により盗まれたデータベースに含まれていた現在の資格情報 (暗号化された有効なパスワードに紐付けされた Adobe ID アカウント) を持つすべてのユーザーのパスワードをリセットしました。これは、Adobe ID アカウントへの不正やアクセスを防止するための措置です。 当社はこれらのユーザーに対して、パスワードの変更方法についての情報を電子メールで通知しました。 他のウェブサイトで同じユーザー ID およびパスワードを使用している場合は、該当するパスワードも変更することをお勧めいたします。

当社がこの攻撃に関与していたと判断したクレジット情報およびデビット情報を所有しているお客様にも通知をいたしました。 電子メールによる通知の他に、該当するお客様には、アドビから、お客様の個人情報の誤使用を防ぐための手順を記載した通知書を送付しました。 また、クレジットカード会社やカード発行元銀行と連携してお客様のアカウントを守るために、お客様のアドビ製品購入の支払いを処理する銀行にも通知を行いました。

当社は、社内、および外部パートナーとも協力して、この事態への対応に引き続き真摯に取り組みます。 当社は連邦法当局に連絡し、現在も引き続き当局の捜査に協力しております。

アドビの通知優先付けはどのように行われましたか?

当社は、攻撃者により盗まれたデータベースに含まれていた現在の資格情報 (暗号化された有効なパスワードに紐付けされた Adobe ID アカウント) を持つすべてのユーザーのパスワードをリセットしました。 このことについては、次の 2 つの方法でユーザーに通知しております。

  • 盗まれたデータベースに含まれていた資格情報を持つすべてのユーザーに電子メールによる通知を送信しました。 通知の送信は優先順位に従って、最初にアクティブなユーザーに対して、次に非アクティブなユーザーおよび影響のあったデータベース内のパスワード(現在はすでに存在していません)を所有していたユーザーに対して行いました。 非アクティブなユーザーおよびデータベース内にパスワードが保管されていたユーザーに対してお知らせした理由は、これらのユーザーが他の Web サイトで同じユーザー ID とパスワードを使用している可能性があるからです。
  • お客様のパスワードがリセットされた場合は、お客様は次回に Adove ID アカウントにログインしようとしたときにログイン画面でパスワードリセット通知をすでに受け取っていたまたはこれから受け取ることになります。 ログインの際にパスワードの変更を促されなかった場合、お客様の現在の資格情報は盗まれたデータベースに含まれていなかったことになります。

電子メール通知の処理は、電子メールアドレス数および一度に送信できる通知数の実務上の制限により、当初より長くかかってしまいました。 当社はまた、電子メールがブロックされる危険を最小限にするために、インターネットサービスプロバイダーと密接に連絡を取り合って作業を進めました。

任意のアドビサービスでパスワードを変更したい場合は、いつでも変更することができます。 Adobe IDパスワードの変更.
 

この事態に関わる顧客情報の地理的な範囲を教えてください。

世界中のアドビ製品をご利用のお客様がアカウント情報を当社に提供しています。このため、当社は念のため、該当するお客様のパスワードをリセットし、クレジットカードまたはデビットカードの情報を提供したすべてのお客様に通知するという対策を講じました。

この調査に関して、アドビは警察当局の協力を得ていますか?

はい。

私がアドビに提供した情報の、今後の安全性について教えてください。

当社ではお客様の信頼を第一に考えています。 今後またこのような事態が起こらないよう、全力で取り組んでおります。 当社では現在、外部パートナーや警察当局とも連携して、懸命に事態への対応に当たっています。

私のクレジットカードまたはデビットカードの情報にアクセスされたかどうかを知る方法について教えてください。

当社がこの攻撃に関与していたと判断したクレジット情報およびデビット情報を所有しているお客様に通知をいたしました。 該当するお客様には、アドビから、お客様の個人情報の誤使用を防ぐための手順を記載した通知書が郵送されました。

このセキュリティの問題に私自身の Adobe ID と現在のパスワードが含まれているかどうかを知る方法を教えてください。

当社は、攻撃者により盗まれたデータベースに含まれていた現在の資格情報 (暗号化された有効なパスワードに紐付けされた Adobe ID アカウント) を持つすべてのユーザーのパスワードをリセットしました。 このことについては、次の 2 つの方法でユーザーに通知しております。

  • 盗まれたデータベースに含まれていた資格情報を持つすべてのユーザーに電子メールによる通知を送信しました。 通知の送信は優先順位に従って、最初にアクティブなユーザーに対して、次に非アクティブなユーザーおよび影響のあったデータベース内のパスワード(現在はすでに存在していません)を所有していたユーザーに対して行いました。 非アクティブなユーザーおよびデータベース内にパスワードが保管されていたユーザーに対してお知らせした理由は、これらのユーザーが他の Web サイトで同じユーザー ID とパスワードを使用している可能性があるからです。
  • お客様のパスワードがリセットされた場合は、お客様は次回に Adove ID アカウントにログインしようとしたときにログイン画面でパスワードリセット通知をすでに受け取っていたまたはこれから受け取ることになります。 ログインの際にパスワードの変更を促されなかった場合、お客様の現在の資格情報は盗まれたデータベースに含まれていなかったことになります。

任意のアドビサービスでパスワードを変更したい場合は、いつでも変更することができます。 Adobe IDパスワードの変更.
 

このセキュリティの問題に、私の名前、住所、電話番号、電子メールアドレス、その他の個人データが含まれているかどうかを知る方法を教えてください。

ご要望については、privacy@adobe.com まで電子メールを送信してください。

 

このセキュリティの問題により、何らかの情報が盗まれたのでしょうか。

盗まれたデータベースにお客様のAdobe IDと暗号化されたパスワードが含まれていた場合、お客様のパスワードをすでに当社でリセットしました。 アドビは、暗号化されたクレジットカード情報が盗まれたすべての顧客に通知書を送付しました。 万が一通知書を受け取っていない場合、あるいはクレジットカードが影響を受けたかどうかを確認したい場合は、カスタマー·サポートまでお問い合わせください。 場合によっては、例えば、姓、名、住所、電話番号などの個人データを除去しています。 当社のシステムから削除された個人データについて質問がある場合は、ご要望を電子メールで privacy@adobe.com までお寄せください。

見つけたWebサイトでは、私のアドビアカウントが危険にさらされているとのことですが、アドビからパスワードリセットの通知書や電子メールを受け取っていません。 私のアカウントは危険なのですか?

Adobe IDとパスワードが盗まれたかどうかを「検証」し、パスワードの変更を求める複数のウェブサイトが最近現れたことを当社は確認しています。 特定のユーザー ID が危険な状態にあるかどうかを判断する情報に関して、これらのサイトは信頼できるソースではありません。 攻撃者によって盗まれたデータベースはバックアップシステムのものでした。このバックアップシステムには期限切れのレコードが多く含まれており、破棄される予定でした。 攻撃者によって盗まれたバックアップデータベースの多くのレコードはパスワードを含んでいないか、含まれている場合でも現在のパスワードではありません。 アドビのレコード認証システムは、お客様のパスワードをハッシュとソルトで暗号化しており、これらのサイトが使用しているデータベースのソースではありません。

お客様の電子メールアドレスをこれらのウェブサイトと共有することはお勧めしません。 少なくともこれらのいくつかのサイトは有効な電子メールアドレスを手に入れてスパムやフィッシングに利用することを目的としています。

 

個人情報が関与していたユーザー数について、公共のレポートに矛盾があるのはなぜですか?

当社は、10 月 3 日のお知らせで、当社システム上にあるアドビ顧客 ID および暗号化されたパスワードに対して攻撃者からのアクセスがあったことを通知しました。当社は、攻撃者が 310 万人分の顧客情報の一部をシステムから持ち去ったことも通知しました。持ち去られた情報には、顧客名、暗号化されたクレジットカードまたはデビットカードの番号、有効期限、および顧客注文に関連するその他の情報が含まれていました。

当社は、影響を受けた Adobe ID アカウントの明確な数には言及しませんでした。 当社は、発表当時に検証できた情報をお知らせしました。 Adobe ID とパスワードが関与していたと思われるお客様の確認とお客様への通知作業において、無効なレコードを削除しました。 その間に発表された数は不正確であると思われます。
 

ユーザーIDと現在のパスワードにアクセスされていた場合、自分のログイン資格情報を保護する方法について教えてください。

盗まれたデータベースにお客様のAdobe IDと現在のパスワードが含まれていた場合、お客様のパスワードはすでに当社がリセットしました。 元のパスワードを他のサイトでも使用している場合、ただちに他のサイトのパスワードも変更してください。 また、パスワードのベストプラクティスに従い、新しいパスワードを安全なものにすることもお勧めいたします。

  • パスワードは再利用しないでください。Adobe IDアカウントのパスワードは、Adobe IDアカウントのみに使用してください。 以前Adobe IDに使用したパスワードまたは他のウェブサイトで使用しているパスワードを再利用しないでください。
  • パスワードは推測されにくいものにしてください。パスワードは最低 8 文字以上のものにしてください。 大文字 (A-Z)、小文字 (a-z)、数字 (0-9)、特殊文字 (# $ % & ; - _ { }) など、複数の文字セットの組み合わせをパスワードに含めてください。 名前やAdobe IDの全体またはその一部をパスワードに使用しないでください。
     

この事態の結果として、アドビのソフトウェア自体が攻撃を受けやすくなることはありませんか?

アドビ製品をねらった侵入行為は毎日行われています。 お客様には、サポート期間が終了する前のバージョンのソフトウェアのみを使用し、入手可能なすべてのセキュリティアップデートを適用し、関連するセキュリティ強化ガイドに記載の情報に従っていただけますようお願いいたします。 この手順は、旧バージョン、パッチを当てていない、または展開が不適切に構成されているアドビ製品をねらった攻撃を軽減するためのものです。

クレジットカードをキャンセルすべきですか?

当社は、クレジットカード会社やカード発行元銀行と連携してお客様のアカウントを守るために、お客様のアドビ製品購入の支払いを処理する銀行にも通知を行いました。

当社がこの攻撃に関与していたと判断したクレジット情報およびデビット情報を所有しているお客様にも通知をいたしました。 電子メールによる通知の他に、該当するお客様には、アドビから、お客様の個人情報の誤使用を防ぐための手順を記載した通知書を送付しました。

お客様におかれましては、大変お手数ですが、口座明細書の確認および無料信用報告書による監視を定期的に行い、口座の不正使用や個人情報の盗難が起こっていないかご確認をお願い申し上げます。 万一、お客様の口座に疑わしい記録が見つかったり、個人情報が不正に利用された形跡があったりした場合は、ただちにお取引先の金融機関までご連絡ください。

私のすべてのオンラインアカウントのパスワードを変更すべきですか?

他のウェブサイトで同じユーザーIDおよびパスワードを使用している場合は、該当するパスワードも変更することをお勧めいたします。

セキュリティに関してアドビがユーザーにアドバイスできることは何ですか?

最新の調査結果から、この事態が原因で、お客様が何か特定の危険にさらされるようなリスクが高まるという事実はありません。 お客様には、サポート期間が終了する前のバージョンのソフトウェアのみを使用し、入手可能なすべてのセキュリティアップデートを適用し、関連するセキュリティ強化ガイドに記載の情報に従っていただけますようお願いいたします。 この手順は、旧バージョン、パッチを当てていない、または展開が不適切に構成されているアドビ製品をねらった攻撃を軽減するためのものです。

当社ではお客様の信頼を第一に考えています。 多くのアドビ製品についてのセキュリティガイダンスとベストプラクティスについては、当社のセキュリティページを参照してください。

顧客情報を保護するため、アドビではどのようなセキュリティ対策を講じていますか?

セキュリティ、特に顧客情報のセキュリティは、アドビにとって非常に重要です。 当社では現在、外部パートナーや警察当局とも連携して、懸命に事態への対応に当たっています。 当社ではお客様の信頼を第一に考えており、今後またこのような事態が起こらないよう、全力で取り組んでまいります。

アドビには、セキュリティの問題が少なからずあるように思われますが、 これはなぜですか?

サイバー攻撃は、今日のビジネス環境における残念な現実の1つです。 アドビ製品の数や利用の増加に伴い、サイバー攻撃の標的になる可能性も高くなります。 当社では現在、外部パートナーや警察当局とも連携して、懸命に事態への対応に当たっています。 当社ではお客様の信頼を第一に考えており、今後またこのような事態が起こらないよう、全力で取り組んでまいります。