コンビニエンスストアチェーン7-Elevenへのサイバー攻撃により約185,000人のデータが流出し、その後ShinyHuntersという恐喝グループが犯行声明を出しました。これはHave I Been Pwnedによると明らかになっています。
流出した情報に含まれるものは、メールアドレス、氏名、住所、生年月日、電話番号です。一部のレコードには追加のデータフィールドも含まれていました。
7-Elevenはコンビニエンスストアチェーンで、19カ国に86,000店以上の店舗があります。
2026年4月8日、同社は権限のない第三者が7-Elevenの特定システムにアクセスしたことを発見しました。
5月1日、7-ElevenのCISO(最高情報セキュリティ責任者)であるジム・カスルは、セキュリティインシデント通知で、調査により事件に関わる文書に個人がフランチャイズ申請プロセス中に提出した情報が含まれていたことが判明したと確認しました。
「お客様の個人情報のセキュリティを非常に真摯に受け止め、影響を受けた文書を評価し、皆様にお知らせするため、直ちに調査を開始しました。このご不便をおかけしたことをお詫びいたします」とカスルは述べています。
「また、IDXを通じて、無料でアイデンティティ盗難保護サービスとCyberScanモニタリングに最大24ヶ月間登録するよう手配しています。」
7-Elevenは事件の背後にある脅威アクターを特定しませんでした。ShinyHuntersはその後、4月17日に攻撃への責任を主張しています。
このグループは600,000件以上のレコードを盗んだと主張し、その後、身代金交渉が失敗したと述べた後に、9.4GBのデータアーカイブを公開しました。
ShinyHuntersは今年、ADT、欧州委員会、Aura、Rockstar Games、Udemyなど、複数の有名なインシデントに関連しています。
5月初旬、オンライン学習プラットフォームCanvasを提供するInstructureは、最近のブリーチで盗まれたデータがオンラインで公開されるのを防ぐため、このギャングと合意に達しました。
その後、FBIはShinyHuntersの恐喝要求に従わないよう組織と個人に警告し、支払いが盗まれたデータの削除を保証したり、将来の恐喝試行を防ぐことはないことに注意しました。
翻訳元: https://www.helpnetsecurity.com/2026/05/26/7-eleven-data-breach-shinyhunters/
