2016年11月1日より前に有効化されたZendeskカスタマー

何が起きたのでしょうか？

2016年11月より前に有効化されたZendesk SupportおよびChat製品、およびこれらの製品のカスタマーアカウントに影響した可能性のあるセキュリティ上の問題について、サードパーティから報告を受けました。この情報を受け取ると、ZendeskのセキュリティチームとZendeskの外部のフォエンドスの専門家は、インシデントの包括的な調査を開始しました。現在も調査を継続中ですが、2019年9月24日に、一部のお客様の情報は2016年11月以前にアクセスされていたことが判明しました。

2016年11月以前にアカウント情報に許可なくアクセスされた、有効期限が切れた試用アカウントや非アクティブになったアカウントを含む、Zendesk SupportアカウントおよびChatアカウントを約15,000件特定しました。アクセスされた情報には、個人を特定できる情報（PII）やその他のサービスデータが含まれます。この事象に関連して、チケットデータがアクセスされた証拠は見つかっていません。

これらのデータベースから公開された情報には、おそらく2016年11月1日までに次のデータが含まれていました。

• 特定のZendesk製品のエージェントおよびエンドユーザーのメールアドレス、ユーザー名、電話番号。
• エージェントとエンドユーザーのパスワードが、2016年11月までの運用で、暗号化を困難にするためのセキュリティ技術として使われたハッシュ化されたもの。  これらのパスワードが、この事象に関連してZendeskサービスにアクセスするために使用された証拠は見つかりません。

更新:  また、有効期限が切れたトライアルアカウントやアクティブではなくなったアカウントを含む、約7,000件のカスタマーアカウントに対して、特定の認証情報がアクセスされたことを確認 しました。」でツリーベースの最大権限を有効にします。  さらに分析したところ、エラーが見つかり、少数のTLS証明書にアクセスしたカスタマーのグループが特定され、現在そのほとんどすべてが期限切れになっています。 

影響を受ける情報は次のとおりです。

• 顧客がZendeskに提供するTransport Layer Security（TLS）暗号化キー
• Zendeskアプリマーケットプレイスまたはプライベートアプリからインストールしたアプリの設定です。これには、これらのアプリがサードパーティサービスに対して認証するために使用するインテグレーションキーが含まれる場合があります。

このような事態が発生したことを大変残念に思います。お客様とそのデータの安全性とセキュリティは、当社にとって非常に重要です。」でツリーベースの最大権限を有効にします。  Zendeskの目標は、透明性を確保し、対処方法に関するガイダンスを提供することで、この情報をできるだけ早く提供することです。今後さらに情報を更新し、共有していきます ブログ に公開する予定です。

この状況を改善するために何が行われましたか？

現時点で、Zendeskのセキュリティチームとサードパーティのサードパーティのフォーラムチームが、詳細な調査と分析を実施中です。これまでに確認いただいた情報に基づいて、以下の対応も行ってきました。

• 外部のフォテクノスの専門家チームと協力して、このセキュリティ上の問題を検証し、公開された正確なデータと情報を特定すること。
• 社内のデータセキュリティレスポンスチームとプロトコルをアクティブにすること。このチームは、このエクスポージャーが発生した原因を特定するために特化したリソースをすべて使用して、引き続き調査を行っています。
• 法執行機関および適切なグローバル規制機関に情報を提供する。
• 影響を受けるすべての顧客に直接情報を提供し、顧客のアカウントとデータを安全に守るために当社が実施している手順と、顧客が自分で実行できる追加のアクションを共有します。
• 2016年11月1日より前に作成された一部のエンドユーザーおよびエージェントに対し、予防措置としてパスワードのローテーションを実装する。 
• 今後24時間で、ZendeskはSupportとChatのすべてのアクティブなエージェント、および2016年11月1日より前に作成されたSupportのすべてのエンドユーザーを対象に、パスワードローテーションの実装を開始します。便宜上、ユーザーに事前にパスワードを変更しておくことをお勧めします。  このパスワードのローテーションは、Guide、Talk、Exploreなど、Supportと共有認証を共有する他のすべての製品に影響します。 
• 次回ログイン時に、これらのユーザーは全員、新しいパスワードを作成する必要があります。パスワード経由でZendesk APIまたはChat APIへの接続を再確立する必要があることに注意してください。  このパスワードのローテーションは、APIまたはOAuthトークンの使用には影響しません。
• 2016年11月1日以降にパスワードを更新したことが確認できた場合、または「シングルサインオン」を使用している場合は、この影響を受けません。

とるべき対策

2016年11月1日より前にアカウントを所有しているというメールを受け取った場合は、以下の手順をお勧めします。

• 2016年11月1日より前にZendeskマーケットプレイスまたはプライベートアプリをインストールして、インストール時にAPIキーやパスワードなどの認証情報を保存した場合は、それぞれのアプリのすべての認証情報をローテーションすることをお勧めします。アプリのインストール日時と対応するインストール日時のリストは、 /v2/apps/installations.json APIエンドポイントを使用して取得できます。
• また、2016年11月1日以前にZendeskにアップロードしたTLS証明書で、現在も有効 な証明書である場合は、新しい証明書をアップロードしてから、古い証明書を取り消すことをお勧めします。
• 現時点では、他の認証資格情報がアクセスされたような兆候はありませんが、お客様は、2016年11月1日より前のZendesk製品で使用されている認証資格情報をローテーションすることを検討されることをお勧めします。ChatのAPIトークンをローテーションさせる必要はありません。

Zendeskのデータは安全に保護されますか

100%の効果を期待できるセキュリティ対策はありませんが、Zendeskは2016年以来、セキュリティプログラムに多大な投資を行っています。以来、Zendeskは、1,000社の顧客を持つ セキュリティプログラム（以下を含む ）： カスタマー管理ユーザー代理ログイン（CCUA）の導入により、Zendeskのカスタマーサービスデータへのアクセスを制限し、セキュリティチームの規模を2倍以上に増大させます。

現時点で、Zendeskのセキュリティチームとサードパーティのサードパーティのフォーラムチームが、このインシデントの詳細な調査と分析を完了しているところです。この調査が完了したら、さらに多くの情報を提供いたします。

パスワードのローテーションはどのように機能しますか?

今後24時間以内に、Zendeskは、2016年11月1日以降に資格情報をローテーションしておらず、シングルサインオンを使用していないエージェントおよびエンドユーザーのために資格情報のローテーションを開始します。

このパスワードのローテーションは、Guide、Talk、Exploreなど、Supportと共有認証を共有する他のすべての製品に影響します。次回ログイン時に、これらのユーザーは全員、新しいパスワードを作成する必要があります。便宜上、この期間に先立ってパスワードを変更しておくことをお勧めします。 

パスワード経由でZendesk APIまたはChat APIへの接続を再確立する必要があることに注意してください。  このパスワードのローテーションは、APIまたはOAuthトークンの使用には影響しません。2016年11月1日以降にパスワードを更新したことが確認できた場合、またはシングルサインオンを使用している場合は、この影響を受けません。

Zendeskアカウントが2016年11月1日以降に作成されたもの。影響を受けないということですか？

正解。2016年11月1日以降に作成されたアカウントが影響を受けたことを示す証拠はありません。

Zendeskサービスデータは侵害されましたか？ 

具体的に特定した10,000件のアカウント以外の顧客のPIIまたはその他のサービスデータがアクセスされたことは確認されていません。お客様のアカウントが影響を受けていると判断された場合は、アカウントとデータを保護するために当社が実施している手順、および追加のアクションをお知らせいたします。

影響を受けるZendesk製品は何ですか？

SupportおよびChat以外の製品が影響を受けたという証拠はありません。  重要： Zendeskが実装しているパスワードのローテーションは、Guide、Talk、Exploreなど、Supportと認証を共有する他のすべての製品にも影響します。BIME、Connect、Sell、Smoochは影響を受けず、今後のパスワードのローテーションによる影響はありません。

このインシデントをデータ保護監督局に報告する必要がありますか？

PIIを含むお客様の「サービスデータ」が侵害されたと当社が判断した場合は、その決定についてお客様に特別に通知いたします。それ以外の場合、PIIまたはその他の「サービスデータ」が侵害されたという証拠は見つかりませんでした。  

Zendeskのお客様はサービスデータのデータ管理者であり、ZendeskはZendeskサービスを実行する際のサービスデータのデータ処理者です。つまり、一般データ保護規則2016/679（GDPR）の第33条に基づいて、当該のGDPRの下で関連するリスクのしきい値を満たしているかどうかに応じて、監視当局に通知することが必要であるかどうかは、各カスタマー次第です。  この判断に役立つすべての情報を提供します。

侵害された具体的な理由/侵害されたデータのリストを教えていただけますか？

PIIを含むお客様の「サービスデータ」が侵害されたと判断した場合、Zendeskはその決定についてお客様に具体的に通知し、より詳細な情報を提供するためにお客様と協力します。  お客様のサービスデータが侵害されたことを特に通知していない場合、Zendeskにはお客様のサービスデータが侵害されたという証拠はありません。 

更新情報や事後処理については、どこに投稿しますか？

このヘルプセンターの記事については、必要に応じて今後も重要なアップデートを投稿していく予定です。記事が完了したら、こと後も公開する予定です。この調査が完了したら、Webサイトやブログを通じてより多くの情報を提供していきます。

貴社のセキュリティプログラムに関する詳しい情報はどこで確認できますか？

当社のセキュリティプログラムに関する詳細情報や特定の質問に対する回答をお知りになりたい場合は、当社のWebサイトのセキュリティの部分（ https://www.zendesk.com/product/zendesk-security/）をご覧ください。