Last Updated on 2024-06-11 06:42 by 荒木 啓介
ニューヨーク・タイムズの内部データがGitHubから不正に取得された。このデータには、人気ゲーム「Wordle」のソースコードを含む270GBもの情報が含まれているとされ、匿名の4chanユーザーによってリークされた。このユーザーは、主に暗号化されていない5,000のGitHubリポジトリにアクセスし、ニューヨーク・タイムズ社の「ほぼ全てのソースコード」を含む約360万ファイルを取得したと主張している。
研究者の一人は、Wordleのソースコード、ニューヨーク・タイムズ教育サイトユーザー1,500人のWordPressデータベース(名前、メールアドレス、ハッシュ化されたパスワードを含む)、内部のSlack通信、URLとそれに対応するパスワード、秘密鍵、APIトークンなどの認証詳細が含まれるデータの一部が正当であることを確認した。
ニューヨーク・タイムズのスポークスパーソンは、データが2024年1月にアクセスされたことを部分的に確認したが、事件の詳細については確認していない。同社は、第三者のクラウドベースのコードプラットフォームへの認証情報が誤って公開された後、迅速に問題を特定し、適切な対策を講じたと述べている。また、ニューヨーク・タイムズ所有のシステムへの不正アクセスの兆候や、この事件に関連する運用への影響はないとしている。
このデータ漏洩は、サイバー攻撃者がソースコードを調査し、悪用可能な脆弱性を見つけ出す可能性があるため、ニューヨーク・タイムズ自身や加入者にとって重大な影響を及ぼす可能性がある。また、リポジトリのほんの一部しか暗号化されていないという主張は、データ保護戦略における潜在的なギャップを浮き彫りにしている。
【ニュース解説】
ニューヨーク・タイムズ社の内部データがGitHubから不正に取得され、その中には人気ゲーム「Wordle」のソースコードを含む270GBの情報が含まれていることが明らかになりました。この情報は匿名の4chanユーザーによってリークされたもので、主に暗号化されていない5,000のGitHubリポジトリから約360万ファイルが取得されたとされています。このデータには、Wordleのソースコードのほか、ニューヨーク・タイムズ教育サイトユーザー1,500人の情報や内部のSlack通信、認証詳細などが含まれていると報告されています。
ニューヨーク・タイムズ社は、このデータアクセスが2024年1月に発生したことを部分的に確認していますが、事件の詳細については明らかにしていません。同社は、認証情報が誤って公開された後、迅速に問題を特定し、適切な対策を講じたと述べています。また、ニューヨーク・タイムズ所有のシステムへの不正アクセスの兆候や、この事件に関連する運用への影響はないとしています。
この事件は、ソースコードの漏洩がサイバー攻撃者による悪用のリスクを高めることを示しています。ソースコードを通じて、攻撃者はシステムの脆弱性を見つけ出し、悪用することが可能になります。また、リポジトリの暗号化が不十分であることが指摘されており、データ保護戦略における改善の必要性を示唆しています。
このようなデータ漏洩は、企業が第三者のクラウドサービスを利用する際のセキュリティ対策の重要性を改めて浮き彫りにします。特に、ソースコードや内部通信などの機密情報を扱う場合、適切な暗号化やアクセス管理が不可欠です。また、この事件は、企業が定期的にセキュリティ対策を見直し、強化することの重要性を示しています。
長期的な視点では、このような事件は企業の信頼性に影響を及ぼす可能性があります。消費者やビジネスパートナーは、自らの情報が安全に管理されていることを期待しています。そのため、企業はセキュリティ対策を強化し、透明性を持って情報管理を行うことが、信頼の維持には不可欠です。また、この事件は、サイバーセキュリティの規制や基準の強化に向けた議論を促す可能性もあります。
