サイバー犯罪
旅行・レジャー大手は、今年のサイバー犯罪者による犯行の多数の被害者のうちの一社に過ぎなかった
世界最大のクルーズ船運営会社であるCarnival Corporationは、ハッキング集団ShinyHuntersが数百万件の顧客情報を窃取したと主張してから1か月後、デジタル強盗被害を受けたことを正式に認めた。
Carnivalが確認したところによると、この侵害は4月14日に従業員に対して行われたソーシャルエンジニアリング攻撃に端を発しているが、同社は被害規模についてのコメントやShinyHuntersの名指しを避けた。
しかし、メイン州司法長官事務所への同社の届出によると、影響を受けた個人の数は600万人弱とされており、Have I Been Pwned がこれまで掲載していた870万件という数字よりも少ない。
Carnivalは以前、当時このフィッシング攻撃を認めていたが、データへのアクセスや窃取があったかどうかについては言及しなかった。
ShinyHuntersはCarnivalのレコードをテラバイト単位で持ち出したと主張し、交渉が決裂したことを示唆した。これは、この犯罪組織による恐喝要求に関連している可能性が高い。
「当社の驚くべき忍耐にもかかわらず、同社は我々との合意に達することができなかった」とShinyHuntersはデータ漏洩サイトに投稿し、「彼らは気にしていない」と付け加えた。
「影響を受けたデータの徹底的かつ時間を要する分析」を経て、Carnivalは氏名、住所、メールアドレス、電話番号、生年月日、州発行の身分証番号がすべて侵害に含まれていたことを確認した。
データ盗難事件でよく見られるように、個人が受ける影響の程度は、同社に提供した情報の内容によって異なる。
Carnivalは水曜日から影響を受けた個人への通知の直接送付を開始した。それらの通知には、米国の侵害通知で一般的に行われているように、TransUnionを通じて2年間の無料信用情報監視サービスを利用するための方法に関する詳細が含まれている。
同社はメッセージの末尾を改善への約束で締めくくった。「インシデント発生前から同社が実施していた包括的なセキュリティ対策に加え、セキュリティおよびモニタリング管理の強化を含む、システムをさらに保護するための措置を講じた。
「同社は、常に進化し続ける脅威の状況に対応するため、ITセキュリティおよびデータプライバシーの管理を継続的に強化していく。」®
