Canva のセキュリティインシデント – 2019年5月24日 FAQ
インシデントの最新情報
2020年 1 月 12日, 2: 35 AEST 更新
2020年1月11日に、当社のシステムは、メールアドレスを使用してCanvaにログインしようとする回数が異常に多い事象を検出しました。攻撃者は、 2019 年5 月に発生したセキュリティインシデントで不正に取得したメールアドレスを標的としていると考えています。不正ログインをしようとしている警告を検知した後、当社のセキュリティチームは、ユーザーの個人情報を侵害する恐れのあるさらなる攻撃をブロックするために、すぐに対策をとりました。
私たちが把握している内容について
悪意のある攻撃者が暗号化されたパスワードデータにアクセスして以来、7 ヶ月が経過しました。当時、攻撃者は多くのリソースを費やしてこれらのパスワードを解読しています。2019年5月のインシデントの影響を受けた約4百万のCanvaアカウントで、パスワードが解読されました。
このうち、最近約 20,000 の復号化されたパスワードがCanvaへの不正アクセスをするために使用されました。これは、2019年5 月以降にパスワードが変更されていないために可能になりました。
Canvaの対応について。
私たちは、20,000 の影響を受けるCanvaユーザーに個別に連絡し、攻撃者がアカウントで実行した詳細を提供します。
また私たちは過去 7 か月間、影響を受けたユーザーにアカウントを保護する方法を通知するさまざまな通信を送信しました。現在、Canvaのメールアドレスでのログイン方法を使用し、 2019 年5月 24 日以降にパスワードを更新 していない すべてのユーザーのパスワードを自動的にリセットする追加手順を実行しています。
影響を受けるユーザーは何をすればよいのでしょうか?
影響を受けるユーザーは、Canva を引き続き使用するには、新しいパスワードを設定する必要があります。パスワードがリセットされた場合、アカウントが攻撃者によってアクセスされたことを意味するものではありませんのでご注意ください。私たちはお客さまのCanvaアカウントを保護するためにこれらの予防措置を講じています。
こちらからパスワードガイドラインに従ってください。改めて以下の内容を確認していただきパスワードを更新してください:
- 複数の文字種(大文字、小文字、数字、特殊文字)の組み合わせでパスワードを推測するのが難しい文字列を作成してください。
- パスワードマネージャーを使用して、すべてのインターネットサービスで利用しているパスワードを管理してください。
- パスワードを使い回しせず、他のサイトやアカウントで使用されたことのない安全なパスワードを使用してください。
有効なメールアドレスを持つユーザーは、通常のパスワード リセット手順を使用してパスワードを復旧できます。有効なメールアドレスを持たないユーザーは、 手動による復旧手順を使用する必要があります。
——
ご不便をおかけして申し訳ございませんが、今後ともご協力をお願いいたします。
Sebastian Welsh
Head of Security, Canva
2019年8月10日 23:25 AEST 更新
ここ数日の間、Canvaをご利用の一部のユーザーさまに、2019年5月24日に発生したセキュリティインシデントが発生したことについて、haveibeenpwned.com(HIBP)およびFirefox Monitorによって通知されました。インシデントの詳細、対応方法、およびこれまでの対処をこちらで確認することがができます。
通知された内容は正確であり、HIBPとFirefox Monitorには感謝しています。
Canvaアカウントをお持ちの一部の方には、今回の通知でご心配をおかけいたしました。セキュリティインシデントの発生はとても残念なことでございます。インシデント対応の一環として、私たちが最初にしたことの1つは、影響を受けるユーザーさまにメールおよびアプリ内アラートを介して通知をすることでした。
HIBPの通知により、一部のユーザーさまからパスワードが漏洩されたかどうかお問い合わせをいただきました。パスワードそのものは漏洩していません。アクセスされたのは、saltを付与してbcryptでハッシュ化されたパスワードでした。これは、現在のもっとも処理能力が高いコンピューターであっても、パスワードを元のパスワードに戻すのが非常に難しい、非常に安全な暗号化技術です。
Canvaではパスワードを安全に保存する方法を採用していることにより、パスワードの推測が非常に難しくなりますが、不可能ではありません。また、 password 1、123456、 または Alex 1997 などの推測しやすいパスワード利用している場合は解読が容易になります。 そのため、Canvaや他のサービスのユーザーアカウントを保護するために、すべてのユーザーさまにCanvaと同じパスワードを使用した他のサービスでパスワードの変更を促してまいりました。すべてのユーザーさまがこのリスクを回避できるように、 1Passwordと提携して、パスワードマネージャーサービスへの1年間の無料アクセス を提供し、Canva内に強力なパスワードチェックを実装しました。
セキュリティインシデントが発生して以来、データを保護するために多くの仕組みを導入しました。主要なサイバーセキュリティコンサルタント、Mandiantおよびその他のパートナーと密に協力して、攻撃の範囲とその原因を特定し、システムを変更してユーザーさまを保護するの追加策を構築しました。私たちは、今後インシデントの事後分析を報告する予定でございますが、それまでにご質問、 または、データの安全性を確保するために講じた対策について詳しく知りたい場合は [email protected] までお気軽にお問い合わせください。
サイバーセキュリティの専門家との調査の結果、今回の問題の影響に対して明確になって点がございますため、コミュニティにできる限り多くの情報を共有させていただきます。
2019年5月24日金曜日に、当社はシステムに対する悪意のある攻撃を検出しましたが、発生と同時に中断させることができました。最初の対応といたしまして、Canvaをロックしてから当局とユーザーにその侵害が発生したことをお知らせいたしました。不正アクセスしたハッカーはほとんどのセキュリティインシデントとは異なる方法をとり、その攻撃についてツイートを行ったので我々もコミュニケーションという点で迅速な対応が求められました。
それ以来、ユーザーの保護のため、私たちはFBIなどのサイバーセキュリティの専門家や当局と協力しています。そして、以下が最新情報となります。
どのような攻撃だったのか?
- 不正アクセスしたハッカーはCanvaのプロフィールデータベースから最大1億3,900万人のユーザーの情報にアクセスしました。プロフィールデータベースには、ユーザー名、名前、電子メールアドレス、国、および公開プロフィールを通じて入手可能であったユーザーの都市および、またはホームページのURLが含まれています。
- 彼らは、ユーザ名/パスワードでログインしているユーザの暗号保護されたパスワード(すべてのパスワードはsaltを付与してbcryptでハッシュ化されています。)にアクセスしました。
- 彼らは、Google経由でサインインしたユーザーのOAuthログイントークンを取得したと主張しました。私たちのOAuthトークンは、AES128で暗号化されており、暗号化キーは別の場所で安全に保管されています。OAuth トークンをダウンロードした、またはキーにアクセスしようとした証拠は見つかりませんでした。
- 彼らはクレジットカードと支払いデータの一部を含むファイルを表示しましたが、これらのファイルが盗まれたという証拠は見つかりませんでした。ファイルには、2016年9月28日より前の部分的なクレジットカードデータ(名前、有効期限、最後の4桁、カードのブランドおよびカードの国)、およびそれらを含む2017年9月16日より前の支払履歴(ユーザーおよび寄稿者に対する一部の支払いの取引金額、日付、およびID。)が含まれています。これらの限定的なカードの詳細は、支払いに利用することはできません。Canva がユーザーのクレジットカードの詳細全体を保存することはありません。
デザインと画像は別のシステムに安全に保管されています。デザインデータへアクセスがあったような形跡は確認されていません。
Canvaの対応について。
私たちはセキュリティ面に対し、多額の投資を続けています。調査完後、今回の事件の技術的な事後報告を公表するつもりです。私たちの最優先事項は、ユーザーを保護することです。対応内容は以下の通りです。
- ユーザーへの通知: 影響を受けたことをユーザーに知らせます。Eメールで直接ユーザーに連絡しましたが、一部のユーザーには期限切れまたは登録Eメール間違えが含まれていたため、アプリ内通知とプレスを使用してユーザーに通知しています。どのデータにアクセスしたかを説明するメールを各ユーザーへ通知しています。
- パスワードの変更を促す: 攻撃前にパスワードを設定していたすべてのユーザーに変更を依頼し、ユーザーがより強力なものを設定できるようにルールを追加しています。
- OAuth トークンのリセット: パートナーと協力して、攻撃前に存在していたすべてのアクティブなログイントークンがリセットされるようにしました。対象のユーザーには、Canva アカウントに再接続するよう求めるメッセージが表示されます。
- パートナーとの連携: 攻撃に関する情報の共有、ユーザーへのリスクの特定、および対応の調整を行うために、パートナー機関と協力しています。たとえば、攻撃者がCanvaユーザーに対してフィッシングを行うことをより困難にするよう、主要プロバイダーの不正使用対策チームに通達しています。
- 1Passwordとの連携:ユーザーには使用するサイトごとに異なるパスワードを使用することをお勧めしていますが、それは難しいことです。そこで、1Passwordと連携し、1Passwordを利用していないCanvaユーザーに1Passwordの1年間無料を提供します。
Canva のユーザーは何ができますか?
- パスワードを変更する:Canva のパスワードをお持ちであり、まだ変更していない場合は、Canva のパスワードを変更することを皆さまに推奨いたします [https://www.canva.com/account/reset/]。他のサイトで同じパスワードをご利用になっている場合は、それらも変更してください。
- 疑わしいメールを報告する:念のため、不審なメールには警戒してください。攻撃者は多くの場合、巧妙な方法でユーザーを欺き、個人情報を手に入れようとします。疑わしいと思われるメールを受け取った場合は、クリックしたり返信したりしないでください。そのようなメールはメールプロバイダーに報告することをお勧めします。
- パスワードマネージャを使用する: 1Password や Google Chrome などのパスワードマネージャを使用して、使用するサイトごとに一意の安全なパスワードを生成して記憶することをお勧めします。
- Google/Facebook ログインが切断された場合に更新する: Facebook または Google 使用してサインインしている場合、こちら側でログインをリセットしている場合があります。その場合は、再度ログインをしてください。
- 連絡先の詳細を更新する: Canvaにログインしたら、連絡先の詳細を追加または更新してください。そうすれば、常にアカウントについて連絡できるようになります。
最後になりますが、
皆様にご迷惑とご不便をおかけしていることを深くお詫び申し上げます。今回の事象で、皆様に動揺を与えたことを理解しております。今まで築いてきた皆様との信頼を再構築し、回復するために、最大限の努力をいたします。
Sebastian Welsh
Head of Security, Canva
デザインにコメントする