高級ブランド大手LVMHの英国支社が深刻なセキュリティ侵害の被害を受けた最新の英国小売業者となり、顧客に対して個人データが漏洩した可能性があることを通知し始めました。
ルイ・ヴィトン英国は、顧客への通知のスクリーンショットがX(旧Twitter)で共有されたことによると、7月2日にこの侵害に気付いたと述べています。
氏名、性別、国、電話番号、メールアドレスおよび郵送先住所、生年月日、購入履歴や嗜好データなどの個人を特定できる情報(PII)が漏洩した可能性があると同社は述べています。
「関係するデータの性質を踏まえ、迷惑な連絡やその他の不審な通信(メール、電話、SMSなど)には十分ご注意いただくことを強くお勧めいたします」と通知には記載されています。
「現時点でお客様のデータが悪用された証拠はありませんが、フィッシング詐欺や不正利用、情報の無断使用が発生する可能性があります。」
小売業界の情報漏洩について詳しく読む:#Infosec2025:英国小売業のハッキングは「巧妙」だが複雑ではなかったとRiver IslandのCISOが語る
同社は情報コミッショナー事務局(ICO)に通知しています。
このニュースは、ルイ・ヴィトンが韓国事業がハッカーの標的となり、一部の個人情報が漏洩したことを公表したわずか1週間後に伝えられました。
LVMHの他の2ブランド、クリスチャン・ディオール・クチュールとティファニーも今年、顧客データ漏洩の被害を受けています。両社は5月から政府の調査対象となっています。
ルイ・ヴィトンは、サイバー攻撃の被害を受けた英国小売業者の長いリストの中で最新の企業です。M&SやCo-opへの攻撃はScattered Spider集団のメンバーによるものとされており、ハロッズやアディダスも標的となっています。
先週、4人が逮捕され、マークス&スペンサー(M&S)、Co-op、ハロッズへの攻撃に関連しているとされています。
2人はウェスト・ミッドランズで法執行機関により拘束されました。1人は17歳の英国人男性、もう1人は19歳のラトビア人です。20歳の英国人女性がスタッフォードシャーで逮捕され、ロンドンでは19歳の英国人男性が拘束されました。
Black Duckのインフラセキュリティ実践ディレクター、トーマス・リチャーズ氏は、ルイ・ヴィトンの攻撃では金融情報は盗まれなかったものの、企業と顧客には依然として重大なリスクがあると指摘します。
「攻撃者は顧客になりすましてルイ・ヴィトンのカスタマーサポートからさらなる情報を得ようとする可能性があります。被害者に対してLVを装った悪意のあるメールが送信され、ログイン情報や金融情報を詐取しようとするかもしれません」と彼は述べています。
「顧客は、即時の対応を求めたり、従わない場合に不利益があると脅すような不審なメールや電話に十分注意すべきです。他のLVMH地域法人が同様の手口で侵害されていることは、より大きな問題の兆候かもしれません。今回の侵害は完全に収束していない可能性や、これらの事業部門が同じ技術やシステムを使用しており、そこに脆弱性がある可能性もあります。」
LVMHは、問題の根本原因を特定し、今後の侵害を防ぐために、組織全体でセキュリティ評価を実施すべきだとリチャーズ氏は付け加えました。
画像クレジット:Shan_shan / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/louis-vuitton-uk-retailer-data/