アメリカの大手ドメイン登録事業者「GoDaddy」は11月22日(現地時間)、同社が提供しているマネージドWordPressホスティングシステムが不正アクセスを受け、最大120万人分のWordPressユーザーの個人情報が流出した可能性があることを米証券取引委員会(SEC)に報告した。流出した情報には、顧客番号や電子メールアドレス、データベースのユーザー名やパスワード、SSL秘密鍵などが含まれているという。
GoDaddyがSECに提出した書類は次のページで確認できる。
GoDaddyは2021年11月17日にマネージドWordPressホスティングシステムへの不審なアクティビティを発見し、許可されていない第三者が侵害されたパスワードを使用してWordPressのレガシーコードベースのプロビジョニングシステムにアクセスしていることを確認したという。インシデントを特定してからすぐに対象のユーザーをシステムからブロックしたとのこと。
まだ調査は進行中だが、2021年9月6日以降に許可されていない第三者によって次の顧客情報にアクセスされた可能性があると報告されている。
- 最大120万人分のマネージドWordPressホスティングのユーザーのメールアドレスと顧客番号
- WorPressの管理者パスワード
アクティブなユーザーの、sFTPクレデンシャルとデータベースのユーザー名とパスワード
アクティブなユーザーのSSL秘密鍵
調査は現在も継続中であり、影響を受けるすべてのユーザーに対して具体的な詳細情報を直接連絡しているという。流出したメールアドレスは、フィッシング攻撃などに転用される危険性がある。また、万が一ユーザー名やパスワードを他のサービスと共用している場合は、二次的な被害にも警戒する必要があるだろう。