7-Eleven データ漏洩により185,000人の個人情報が露出

データ漏洩通知サービス Have I Been Pwned によると、恐喝グループ ShinyHunters は 4 月にコンビニチェーン大手 7-Eleven のシステムをハッキングした後、183,000 人以上の個人情報を盗みました。

1927 年の設立以来、7-Eleven は現在、米国とカナダの 13,000 店を含む世界中の 86,000 以上の店舗を運営、フランチャイズ化、およびライセンスしています。7-Eleven は Speedway、Stripes、Laredo Taco Company、Raise the Roost Chicken and Biscuits の営業とフランチャイズ化も行っており、7Rewards および Speedy Rewards ロイヤルティ プログラムは 100 万人以上のメンバーを抱えています。

同社は 5 月 1 日に影響を受けた顧客に送付したデータ漏洩通知書で、攻撃者が 4 月初旬に 7-Eleven のシステムにアクセスした後、非公開の多数の個人のデータを盗んだと明かしました。

「2026 年 4 月 8 日に、認可されていない第三者がフランチャイジー文書の保存に使用される特定の 7-Eleven システムにアクセスしたことが最近発見されました」と 7-Eleven は述べました。

7-Eleven は攻撃を特定のハッキンググループや脅威行為者に帰属させておらず、インシデントの詳細を共有していませんが、ShinyHunters 恐喝グループは 4 月 17 日に攻撃の責任を主張しました。

サイバー犯罪者は 7-Eleven の Salesforce 環境に侵入した後、企業データおよび個人識別情報を含む 600,000 件以上のレコードを盗んだと主張しました。その後、同社が盗まれたデータの返還と破棄のための身代金の支払いを拒否した後、ダークウェブのリークサイトで 9.4GB のドキュメントアーカイブをリークしました。

BleepingComputer が ShinyHunters の主張を確認し、影響を受けた個人の数を共有することを連絡したとき 7-Eleven のスポークスパーソンは返信しませんでしたが、Have I Been Pwned はサイバー犯罪グループによってリークされたデータを分析し、漏洩が185,300 人のデータを露出したと述べました。これには名前、生年月日、一意のメールアドレス、電話番号、および物理的なアドレスが含まれます。

「インシデントは、名前、物理的なアドレス、生年月日、電話番号とともに 185,000 の一意のメールアドレスを露出しました。少数のレコードには追加の露出データフィールドも含まれていました」と述べられました。「同社は後に漏洩は『フランチャイジー文書の保存に使用される特定の 7-Eleven システム』に限定されていたと助言しました。これは露出されたデータと一致するステートメントです。」

7-Eleven デンマークも、攻撃者がシステムの一部を暗号化した後、2022 年 8 月にランサムウェア攻撃の被害者であることを確認し、チェーンに 175 店舗の閉鎖を余儀なくさせました。

ShinyHunters は過去 1 年間 Salesforce 顧客をターゲットにしており、数百の企業に侵入し、Salesforce Aura データ窃盗攻撃およびSalesloft Drift キャンペーンで数十億のレコードを盗んだと主張しています。

ShinyHunters が最近主張した他の漏洩には、欧州委員会、動画サービス Vimeo、スペインのファストファッション小売業者ZaraおよびMANGO、EdTech 大手 McGraw-Hill、ホームセキュリティ大手 ADT、医療機器メーカー Medtronic、PornHub、Rockstar Games、オンラインデーティング大手 Match Group、およびテクノロジー企業CiscoおよびGoogleが含まれます。

2 週間前、FBI は助言し ShinyHunters の被害者に脅迫者の要求に屈しないようにと述べました。身代金の支払いが脅迫者が盗まれたデータを他のサイバー犯罪者に売却したり、被害者を再び脅喝したりしないことを保証しないという以前の警告の後です。