Canva のセキュリティインシデント – 2019年5月24日 FAQ
インシデントの最新情報
2019年6月1日 10:13 ASET 更新
サイバーセキュリティの専門家との調査の結果、今回の問題の影響に対して明確になって点がございますため、コミュニティにできる限り多くの情報を共有させていただきます。
2019年5月24日金曜日に、当社はシステムに対する悪意のある攻撃を検出しましたが、発生と同時に中断させることができました。最初の対応といたしまして、Canvaをロックしてから当局とユーザーにその侵害が発生したことをお知らせいたしました。不正アクセスしたハッカーはほとんどのセキュリティインシデントとは異なる方法をとり、その攻撃についてツイートを行ったので我々もコミュニケーションという点で迅速な対応が求められました。
それ以来、ユーザーの保護のため、私たちはFBIなどのサイバーセキュリティの専門家や当局と協力しています。そして、以下が最新情報となります。
どのような攻撃だったのか?
- 不正アクセスしたハッカーはCanvaのプロフィールデータベースから最大1億3,900万人のユーザーの情報にアクセスしました。プロフィールデータベースには、ユーザー名、名前、電子メールアドレス、国、および公開プロフィールを通じて入手可能であったユーザーの都市および、またはホームページのURLが含まれています。
- 彼らは、ユーザ名/パスワードでログインしているユーザの暗号保護されたパスワード(すべてのパスワードはsaltを付与してbcryptでハッシュ化されています。)にアクセスしました。
- 彼らは、Google経由でサインインしたユーザーのOAuthログイントークンを取得したと主張しました。私たちのOAuthトークンは、AES128で暗号化されており、暗号化キーは別の場所で安全に保管されています。OAuth トークンをダウンロードした、またはキーにアクセスしようとした証拠は見つかりませんでした。
- 彼らはクレジットカードと支払いデータの一部を含むファイルを表示しましたが、これらのファイルが盗まれたという証拠は見つかりませんでした。ファイルには、2016年9月28日より前の部分的なクレジットカードデータ(名前、有効期限、最後の4桁、カードのブランドおよびカードの国)、およびそれらを含む2017年9月16日より前の支払履歴(ユーザーおよび寄付者に対する一部の支払いの取引金額、日付、およびID。)が含まれています。これらの限定的なカードの詳細は、支払いに利用することはできません。Canva がユーザーのクレジットカードの詳細全体を保存することはありません。
デザインと画像は別のシステムに安全に保管されています。デザインデータへアクセスがあったような形跡は確認されていません。
Canvaの対応について。
私たちはセキュリティ面に対し、多額の投資を続けています。調査完後、今回の事件の技術的な事後報告を公表するつもりです。私たちの最優先事項は、ユーザーを保護することです。対応内容は以下の通りです。
- ユーザーへの通知: 影響を受けたことをユーザーに知らせます。Eメールで直接ユーザーに連絡しましたが、一部のユーザーには期限切れまたは登録Eメール間違えが含まれていたため、アプリ内通知とプレスを使用してユーザーに通知しています。どのデータにアクセスしたかを説明するメールを各ユーザーへ通知しています。
- パスワードの変更を促す: 攻撃前にパスワードを設定していたすべてのユーザーに変更を依頼し、ユーザーがより強力なものを設定できるようにルールを追加しています。
- OAuth トークンのリセット: パートナーと協力して、攻撃前に存在していたすべてのアクティブなログイントークンがリセットされるようにしました。対象のユーザーには、Canva アカウントに再接続するよう求めるメッセージが表示されます。
- パートナーとの連携: 攻撃に関する情報の共有、ユーザーへのリスクの特定、および対応の調整を行うために、パートナー機関と協力しています。たとえば、攻撃者がCanvaユーザーに対してフィッシングを行うことをより困難にするよう、主要プロバイダーの不正使用対策チームに通達しています。
- 1Passwordとの連携:ユーザーには使用するサイトごとに異なるパスワードを使用することをお勧めしていますが、それは難しいことです。そこで、1Passwordと連携し、1Passwordを利用していないCanvaユーザーに1Passwordの1年間無料を提供します。
Canva のユーザーは何ができますか?
- パスワードを変更する:Canva のパスワードをお持ちであり、まだ変更していない場合は、Canva のパスワードを変更することを皆さまに推奨いたします [https://www.canva.com/account/reset/]。他のサイトで同じパスワードをご利用になっている場合は、それらも変更してください。
- 疑わしいメールを報告する:念のため、不審なメールには警戒してください。攻撃者は多くの場合、巧妙な方法でユーザーを欺き、個人情報を手に入れようとします。疑わしいと思われるメールを受け取った場合は、クリックしたり返信したりしないでください。そのようなメールはメールプロバイダーに報告することをお勧めします。
- パスワードマネージャを使用する: 1Password や Google Chrome などのパスワードマネージャを使用して、使用するサイトごとに一意の安全なパスワードを生成して記憶することをお勧めします。
- Google/Facebook ログインが切断された場合に更新する: Facebook または Google 使用してサインインしている場合、こちら側でログインをリセットしている場合があります。その場合は、再度ログインをしてください。
- 連絡先の詳細を更新する: Canvaにログインしたら、連絡先の詳細を追加または更新してください。そうすれば、常にアカウントについて連絡できるようになります。
最後になりますが、
皆様にご迷惑とご不便をおかけしていることを深くお詫び申し上げます。今回の事象で、皆様に動揺を与えたことを理解しております。今まで築いてきた皆様との信頼を再構築し、回復するために、最大限の努力をいたします。
Sebastian Welsh
Head of Security, Canva
デザインにコメントする