D-Linkは10月17日(米国時間)までに、「(Non-US) D-Link Corporation Provides Details about an Information Disclosure Security Incident | D-Link Technical Support」において、同社の従業員がフィッシング攻撃を受け、長期間使用されていなかった古いデータが流出したと報じた。流出したデータは機密性の低い半公開情報だったという。
-
(Non-US) D-Link Corporation Provides Details about an Information Disclosure Security Incident | D-Link Technical Support
D-Linkによると、このインシデントは2023年10月1日にオンラインフォーラムに投稿された記事が発端とされる。記事ではD-Linkのローカルネットワーク機器とネットワーク管理者向けのソフトウェア監視ツール「D-View」システムが侵害され、数百万人のユーザデータが窃取されたと主張していたという。しかしながら、D-LinkはTrend Microの専門家による調査の結果、この主張が不正確で誇張されていることを確認したとしている。流出したとみられるデータの特徴は次のとおり。
- 2015年に寿命を迎えた古いD-View6システムに由来するデータが流出した可能性が高い
- このデータは当時、登録目的で使用されていた
- このデータにユーザーIDや財務情報が含まれていた証拠はない
- 連絡先の名前やオフィスのメールアドレスなど、機密性の低い半公開情報が含まれている
D-Linkはこのインシデントに対し、報告を受けたその日のうちに予防処置を講じたとしている。また、同様のインシデント発生を防ぐために、古いユーザーデータとバックアップデータを監査し、削除を進めるとしている。D-Linkはこのインシデントによって現在の同社製品のユーザーへ与える影響は低いとしつつ、影響を心配するユーザは同社のカスタマーサービスへ連絡するよう呼びかけている。
