VirtualMacOSX.comのユーザーデータが侵害により公開

サイバーセキュリティ研究者SafetyDetectivesは金曜日、Macユーザー向けのクラウドサービスを提供するオンラインプロバイダーVirtualMacOSX.comで発生したデータ侵害について報告した。この侵害には「同社の顧客1万人分の」データが関係している。

SafetyDetectivesは、データ漏洩やクラッキングなどで知られるフォーラムで、VirtualMacOSX.comのデータベースを公開する投稿を発見したと述べています。投稿に返信または「いいね！」したユーザーには、データへのアクセスが許可されていました。データには、氏名、財務データ、連絡先、パスワードなどの機密情報が含まれていました。SafetyDetectivesによる分析の結果、データは本物であると確信しましたが、研究者は倫理的な懸念から、データの検証のために「公開された認証情報のテストを控えた」とのことです。

VirtualMacOSX.comは、「手頃な価格でMacベースのウェブホームを提供する」と自称しています。カナダ西部（南北アメリカおよび環太平洋地域）とカナダ東部（南北アメリカおよび中東/ヨーロッパ）にある最先端のデータセンターでホストされるMac OS Xサーバープランを提供しています。プランは月額12.75ドルからで、1日1時間の利用と2GBのストレージが利用可能です。 

Trustpilotによると、カナダに拠点を置くVirtualMacOSX.comは、Trustpilotのレビューで平均5点満点中2.5点の評価を受けており、レビューの48%が1つ星と評価されています。SafetyDetectivesは、自らを「サイバーセキュリティの専門家、プライバシー研究者、技術製品レビュー担当者からなる無償の出版グループ」と称しています。

Macworld は、この報道についてコメントを求めて、VirtualMacOSX.com に電子メールで連絡を取った。

データ侵害から身を守る方法

ここで取り上げている侵害は、macOSの脆弱性ではなく、サービスプロバイダの脆弱性に起因しています。外部の第三者がVirtualMacOSX.comのデータベースにどのようにアクセスしたか、またデータが暗号化されていたかどうかは不明です。もし暗号化されていたとすれば、脅威エージェントはデータを復号するための鍵を保有していたと考えられます。

データ侵害によりデータが漏洩したと思われる場合は、自分自身を保護するためにいくつかの手順を踏む必要があります。

• 侵害を受けたサービスを引き続き使用する場合は、パスワードを変更し、2 要素認証を有効にしてください。
• 信用情報を確認し、口座を凍結しましょう。これにより、あなたの名前で行われる金融サービスへの不正な承認を防ぐことができます。ローンやクレジットカードなどのサービスに申し込む必要がある場合は、信用調査を行うために口座を一時的に凍結解除することができます。
• ご利用の金融機関の記録をすべてご確認ください。オンラインでアクセスしている場合は、パスワードを変更し、二要素認証を有効にしてください。金融機関によっては、口座へのアクセスが試みられた際に警告を発する場合もあります。
• 「Have I Benn Pwned」などのサービスを使用して、自分のメール アドレスがデータ侵害に関係しているかどうかを確認します。

AppleはOSアップデートを通じてセキュリティパッチをリリースするため、できるだけ早くインストールすることが重要です。Macworldには、ウイルス対策ソフトウェアが必要かどうかのガイド、Macのウイルス、マルウェア、トロイの木馬のリスト、Macセキュリティソフトウェアの比較など、役立つガイドがいくつか掲載されています。

著者: ロマン・ロヨラ、Macworld シニアエディター