Mac向けのセキュリティ対策機能などをうたうソフトウェア「MacKeeper」のメーカーKromtechは12月14日、同社のデータストレージシステムへのアクセスに潜在的な脆弱性が見つかったと発表した。1300万の顧客情報が流出した可能性があるとも伝えられている。

セキュリティ問題を発表したKromtech

Kromtechによると、この問題はセキュリティ研究者のクリス・ビッケリー氏が発見し、同社は指摘を受けて即座に問題を修正した。データストレージシステムにはビッケリー氏本人しかアクセスしていないことを確認したと説明している。

保存されていたのは顧客の氏名やユーザー名、パスワードハッシュなどの情報で、ビッケリー氏はMacKeeperなどに関連したセンシティブなアカウント情報1300万件以上をダウンロードしたとしている。Kromtechによれば、クレジットカード番号などの決済情報は同社のサーバには保存していなかったという。

報道によれば、MacKeeperでは安全性の低下が指摘されているハッシュ関数「MD5」を使っていたとの情報もあり、パスワードが簡単に破られてしまう恐れもある。

ビッケリー氏はRedditへの投稿の中で、検索エンジンのShodanで無作為に検索を行っていて偶然、KromtechのMongoデータベースインスタンスが誰にでもアクセスできる状態になっているのを発見したと説明した。Shodanでは、インターネットに接続されているあらゆる機器の情報が検索できる。

Redditの投稿

MacKeeperはMacのクリーニングや最適化、セキュリティ対策などの機能を宣伝しているソフトウェア。ネットに掲載されたユーザーの評判は「迷惑アドウェア」「悪質ソフトウェア」「アンインストールしにくい」などの声も多い。

Copyright © ITmedia, Inc. All Rights Reserved.