TokyoBlackHatNews

malwarebytes.com 4分で読了

カーニバル、約600万人に影響するデータ侵害を確認

カーニバル・クルーズラインの親会社であるカーニバル・コーポレーションは、2026年5月27日付の新たな「サイバーセキュリティ事案のお知らせ」を送付しています。この一文を以前にも読んだような気がするなら、それは気のせいではありません。世界最大のクルーズ会社は過去10年間で、侵害、ランサムウェア事案、規制当局からの制裁という憂慮すべき実績を積み重ねており、今回の2026年の事案も、すでに長い情報セキュリティの歴史にまた一つ加わることになりました。

当社のデータベースには、カーニバル・コーポレーションまたはその子会社が関与した複数のデータ侵害が記録されています。

2019年から2021年の間だけでも、カーニバルはニューヨーク州金融サービス局に4件の独立したサイバーセキュリティ事案を報告しました。これらには2件のランサムウェア攻撃と、攻撃者がマルウェアを展開し、内部システムにアクセスして暗号化し、顧客および従業員の個人情報を窃取したフィッシング事案が含まれています。

今回の最新事案では、攻撃者が2026年4月14日にソーシャルエンジニアリングを用いてカーニバルの従業員を騙し、同社のITシステムの一部へのアクセス権を取得しました。4月22日までに、攻撃者は侵害されたアカウントを使用してカーニバルのITシステムの「限定的な一部」にアクセスし、遮断される前に個人データをコピーすることに成功しました。

メイン州に提出されたデータ侵害通知によると、影響を受けた人数は合計5,995,277人にのぼります。カーニバルは、侵入者が個人情報を含むファイルを不正にコピーしたことを確認しており、現在、影響を受けた個人に対して、本人に関する「データ要素」が取得されたことを通知する書面を送付しています。

  • 氏名
  • メールアドレス
  • 生年月日
  • 性別
  • マリナー・ソサエティの会員資格およびグレード
  • 社内顧客識別子

テンプレートの通知書には具体的なデータ項目は記載されておらず、代わりにプレースホルダーが使用されています:

「お客様の<<データ要素>>が取得されたことを確認いたしました。」

これは、カーニバルが各通知書に、個人ごとに関連するデータカテゴリを記入していることを強く示唆しており、人によって異なる時期に異なる情報を提供している可能性がある大規模侵害では一般的なパターンです。

さらに、通知書には会社の対応の迅速さ、第三者専門家の関与に関する通常の内容が記載されており、影響を受けたシステムを環境全体の限定的なサブセットとして位置付けています。受信者にとって重要な事実は、会社の観点から侵害がどれほど限定的であったかではなく、漏洩した情報が個人情報窃盗、詐欺、または巧妙なフィッシング攻撃に悪用される可能性があるかどうかです。

侵害は毎日起きています。最後に知る人にならないでください。

過去のカーニバルの事案から、漏洩したデータには氏名、住所、生年月日、パスポート番号、健康情報、支払い情報が含まれていたことがわかっています。クルーズ会社に影響を与えた過去の侵害では、基本的な連絡先情報から社会保障番号やクレジットカード情報にまで及ぶデータが侵害されています。カーニバルは2026年の事案に関与したデータの全カテゴリを公式に開示していませんが、この2026年の事案もまた内部システムからコピーされた「個人情報」を含むことから、人によってデータの種類は異なるとしても、深刻なプライバシー侵害として扱うことが妥当です。

この攻撃は恐喝グループShinyHuntersによるものと主張されており、同グループはデータを窃取した後に身代金を要求することで知られています。被害者が条件に同意しない場合、そのデータは公開され、最高入札者に売却されます。

Image

サイバー犯罪者の観点からすると、クルーズ業界のデータは非常に価値が高いとされています。クルーズ客は比較的裕福な場合が多く、乗客記録にはアイデンティティデータ(氏名、住所、生年月日、パスポート番号)、連絡先データ(メールアドレス、電話番号)、さらには支払いデータ(カード番号や場合によっては銀行情報)が組み合わさっており、個人情報窃盗、標的型フィッシング、詐欺に悪用しやすい貴重な情報となっています。

影響を受けた場合の対処法

被害を最小限に抑えるため、カーニバルはMyTrueIdentityプラットフォームを通じて提供され、詐欺支援のためにCyberscoutがサポートする、24ヶ月間の無料TransUnionクレジット監視パッケージを提供しています。

サイバー犯罪者は侵害を悪用してフィッシング詐欺を行うことが多いため、カーニバルやクレジット監視サービス提供者を名乗るメール、テキスト、電話には十分注意してください。データ侵害に巻き込まれたことがわかった場合の対処法についてのアドバイスをお読みください。

サイバー犯罪者はあなたについて何を知っていますか?

Malwarebytesの無料デジタルフットプリントスキャンを使用して、あなたの個人情報がオンラインで漏洩していないか確認してください。

翻訳元: https://www.malwarebytes.com/blog/data-breaches/2026/05/carnival-confirms-data-breach-impacting-nearly-6-million

ソース: malwarebytes.com
#ShinyHunters #カーニバル・コーポレーション #クルーズ業界 #クレジット監視 #サイバーセキュリティ #ソーシャルエンジニアリング #データ侵害 #フィッシング詐欺 #ランサムウェア #個人情報漏洩

関連記事

WindowsパソコンのセキュリティはWindows PCに2026年6月の期限があります

偽のChatGPTダウンロードサイトがWindowsとMacユーザーにマルウェアを感染させる

Kali365フィッシングキット、MFAを回避してMicrosoftログイン情報を窃取