企業の認証情報管理が、数年越しの大規模データ侵害につながる事例が発生しました。
マーケット調査会社Klueが、2022年に発行した認証情報を悪用されたことを認め、複数の顧客企業のデータが流出したと公式に確認しています。
この記事で分かること
- Klueへのハッキングの経緯と手口
- 被害を受けた企業(LastPassなど)の状況
- なぜ4年前の認証情報が残存していたのか
- ランサムウェアグループIcarusの関与
約5分で読めます(本文約2,500文字)
【結論】重要ポイント3選#
2022年のパイロット用認証情報が悪用された Klueは2022年に第三者へ提供したパイロット用の認証情報が、ハッカーに使われたと認めています。
OAuthトークンを経由して顧客データが盗まれた Klueのシステムに保存されていたOAuthトークン(認証キー)が悪用され、顧客のクラウド・データベースへのアクセスを許してしまいました。
ランサムウェアグループIcarusが身代金を要求中 「Icarus」と名乗るハッキンググループが犯行を主張し、身代金が支払われなければ盗んだデータを公開すると脅迫しています。
各ポイントの詳細は以降のセクションで解説します。
Klueとは?基本概念の解説#
Klueは、カナダのバンクーバーを拠点とする市場調査会社です。
企業顧客向けに情報収集・分析サービスを提供しており、顧客が利用する各種クラウドサービスやデータベースへのアクセスキー(OAuthトークン)を自社システム内に保持する仕組みを持っています。
OAuthトークンとは、パスワードを共有せずに他のサービスへのアクセス権限を付与するための「鍵」のことです。
この仕組みが今回の攻撃経路となりました。
主な特徴と今回の侵害の詳細#
| 項目 | 内容 |
|---|---|
| 被害発覚日 | 2026年6月12日 |
| 最初の公開日 | 2026年6月19日(金曜日) |
| 侵害に使われた認証情報 | 2022年のパイロット用「レガシー認証情報」 |
| 認証情報の種類 | 「統合サービスに関連するレガシー認証情報」(詳細は非公開) |
| 被害企業例 | LastPass、その他複数のサイバーセキュリティ企業 |
| 攻撃者 | 「Icarus」と名乗るハッキンググループ |
| 攻撃者の要求 | 身代金(未払いの場合、データを公開すると脅迫) |
なぜ今回の侵害は深刻なのか#
4年間放置された認証情報という問題#
今回の件が特に深刻視されているのは、2022年のパイロット終了後も認証情報が失効・削除されなかったという点です。
Klueの広報担当者Katie Berg氏はTechCrunchに対し、問題の認証情報は「2022年に限定的なパイロットのために第三者に提供されたもの」と説明しました。
しかし以下の点については、いずれも回答を拒否しました。
- パイロットの目的
- パイロットの実施期間
- 認証情報を提供した第三者の名前
- パイロット終了後に認証情報を無効化しなかった理由
この事実は、Klueがパイロット終了から数年間、その認証情報を失効させる機会があったにもかかわらず、対処しなかった可能性を示しています。
被害企業にはサイバーセキュリティ企業が含まれる#
被害を受けた顧客の中には、パスワード管理ソフトのLastPassや、その他複数のサイバーセキュリティ企業が含まれています。
セキュリティを専門とする企業が、サプライチェーン(取引先経由)の侵害に遭うという構図が、業界全体に警鐘を鳴らす事例となっています。
攻撃の手口:OAuthトークンを悪用した連鎖的侵害#
ハッカーがKlueのシステムへのアクセスを得た後、以下の手順でデータを盗み出したとされています。
- Klueのシステムに保存されていたOAuthトークン(顧客の各種クラウド・DBへのアクセスキー)を取得
- そのトークンを使い、顧客企業が利用するクラウドやデータベースに不正アクセス
- 顧客データをダウンロード
- 盗んだデータを武器に身代金要求(恐喝)
このようにKlue自体が「踏み台」となり、顧客企業への二次被害が発生した構造です。
Klue社の現状と対応#
KlueはTechCrunchへの声明の中で、以下の分野における「包括的な見直し」を実施中と述べています。
- 認証情報管理
- ベンダー(外部委託先)へのアクセス制御
- 監視能力
- デプロイメント(システム展開)セキュリティプロセス
ただし、具体的な改善策の詳細は公開されていません。
また、以下の重要な点についてもKlueは現時点で回答していません。
- ハッカー(Icarus)との接触の有無
- 身代金を支払う意向があるかどうか
- 盗まれた認証情報がKlue自身のシステムから流出したのか、第三者から流出したのか
Klueはフォローアップの取材メールにも、公開前に返答しなかったとTechCrunchは報告しています。
よくある質問(FAQ)#
Q. 今回の侵害で被害を受けた企業は?
A. 公表されている企業としては、パスワード管理ソフトのLastPassおよび複数のサイバーセキュリティ企業が含まれます。全被害企業の数や名称は現時点では公開されていません。
Q. 「Icarus」とはどのようなグループか?
A. 「Icarus」はデータリークサイトを持つハッキンググループで、今回の侵害への関与を自ら主張しています。身代金が支払われなければ盗んだデータを公開すると脅迫しています。ただし、グループの詳細な背景についてはソース記事に記載がないため、詳細は元記事を参照してください。
Q. 「レガシー認証情報」とは何か?
A. Klueは問題の認証情報を「統合サービスに関連するレガシー(旧式)認証情報」と表現しています。具体的な種類(例:ユーザー名・パスワードなのか、別の形式なのか)はKlueが公表を拒否しており、現時点では不明です。
Q. 現在も調査は続いているのか?
A. はい、Klueは「調査は継続中」としており、解明されていない点が多数残っています。
まとめ:押さえておくべき重要ポイント#
- Klueは2026年6月12日に侵害を検知し、2022年のパイロット用認証情報が悪用されたと確認した
- LastPassを含む複数の顧客企業のデータが、OAuthトークンを経由して盗み出された
- 4年前の認証情報が失効・削除されずに残っていたことが根本的な問題とされており、認証情報管理の重要性が改めて問われている
- ランサムウェアグループIcarusが犯行を主張し、身代金未払いの場合のデータ公開を脅迫中
- Klueは調査中としつつも、多くの詳細な質問への回答を拒否しており、全容解明には至っていない
今後の調査結果や追加情報については、引き続き注視が必要です。
参考元: Klue says hackers stole credential from 2022 that led to customer data breaches
