カーニバル・クルーズ、約600万人に影響するデータ侵害を確認

世界最大のクルーズ会社であるカーニバル・コーポレーションは、2026年4月にShinyHuntersゆすりグループが主張していた、約600万人に影響するデータ侵害を確認した。

同社は16万人以上の従業員を抱え、90隻以上の船を擁する艦隊を通じて2024年に約1,350万人の旅客にサービスを提供した。

カーニバルは世界有数の9つのクルーズブランド（カーニバル・クルーズライン、コスタ、P&Oオーストラリア、P&Oクルーズ、プリンセス・クルーズ、ホランド・アメリカライン、AIDA、キュナード、シーボーン）および旅行ツアー会社（ホランド・アメリカ・プリンセス・アラスカ・ツアーズ）を運営しており、昨年の収益は260億ドルを超えると報告している。

The video player is currently playing an ad. You can skip the ad in 5 sec with a mouse or keyboard

同社は水曜日、5,995,277人の顧客への通知を開始した。脅威アクターが4月10日のソーシャルエンジニアリング攻撃によって一部のITシステムへのアクセスを得た後、同顧客らのデータを窃取したとしている。

「2026年4月14日、当社のITセキュリティチームは、従業員アカウントに関わる不正なアクティビティを確認しました。不正なアクターがソーシャルエンジニアリングを用いて従業員を欺き、当社のITシステムの限られた一部へのアクセスを取得しました」と、同社は影響を受けた個人へ送付したデータ侵害通知書の中で述べた。

「当社は不正なアクティビティを遮断するため迅速に行動し、セキュリティのさらなる強化と徹底的な調査を行うためにサードパーティのセキュリティ専門家と直ちに連携を開始しました。2026年4月22日、当社は悪意あるアクターが個人情報を不正にコピーしたことを初めて確認しました。」

カーニバルはまだ攻撃の帰属を明らかにしていないが、サイバー犯罪グループのShinyHuntersは4月に今回の侵害への関与を主張し、個人を特定できる情報を含む870万件以上のレコードと、テラバイト規模の内部企業データを盗んだと述べた。

カーニバルの広報担当者は、BleepingComputerがShinyHuntersの主張を確認し、攻撃で窃取されたデータの詳細についてコメントを求めた際に回答しなかったが、データ侵害通知サービスのHave I Been Pwnedはゆすりグループが漏洩したデータを分析した結果、この侵害により氏名、生年月日、メールアドレス、性別、居住地、ロイヤルティプログラムの詳細が流出したと述べた。

「データに含まれるフィールドから、カーニバル傘下のクルーズブランドであるホランド・アメリカが運営するマリナー・ソサエティ・ロイヤルティプログラムに関連するものと示されており、氏名、生年月日、性別、およびロイヤルティプログラム内のステータスに関するデータが含まれていました」とHave I Been Pwndは指摘した。

この1年間、ShinyHuntersはSalesforceの顧客を標的とし、世界中の数百社に侵害を行い、Salesloft DriftキャンペーンおよびSalesforce Auraデータ窃取攻撃において数十億件のレコードを盗んだと主張している。

FBIは2週間前、ShinyHuntersの被害者に対し攻撃者の身代金要求に応じないよう勧告した。これ以前にも、身代金を支払っても脅威アクターが再び被害者を脅迫したり、盗んだデータを他のサイバー犯罪者に売却したりしないという保証はないと警告していた。

カーニバル・コーポレーションは、2020年3月および2021年6月にも、脅威アクターがカーニバル従業員のメールアカウントへのアクセスを取得した後、顧客・従業員・乗組員の個人情報および財務情報が流出するデータ侵害を開示していた。

ランサムウェアグループもまた、2020年8月および2020年12月に同社のシステムに侵入した後、カーニバルの顧客および従業員の個人情報を窃取した。