世界最大のクルーズ船運航会社の一つであるカーニバル・コーポレーションは、ハッキンググループ「ShinyHunters」が数百万件の顧客レコードを盗んだと主張してから数週間後、データ侵害を認めました。
カーニバルは、単一の従業員アカウントに関わるフィッシングインシデントを認め、不正アクティビティの範囲を調査中であると述べました。
「2026年4月14日、同社のITセキュリティチームは従業員のアカウントに関わる不正なアクティビティを検知しました。不正なアクターがソーシャルエンジニアリングを使用して従業員を欺き、同社のITシステムの一部への不正アクセスを得ました」と同社は述べています。
Have I Been Pwnedによると、ハッキンググループShinyHuntersは4月18日にカーニバル・コーポレーションを「支払わなければ情報を公開する」ポータルに掲載し、同クルーズ船運航会社の顧客データを盗んだと主張しました。
流出したとされるデータには750万件のユニークなメールアドレスを含む870万件のレコードが含まれており、カーニバル・コーポレーションの子会社であるホーランド・アメリカ・ラインが運営する「マリナー・ソサエティ」ロイヤルティプログラムに関連するデータであることを示すフィールドも含まれていました。
流出した情報には、氏名、生年月日、性別、メールアドレス、およびロイヤルティプログラムのステータス情報が含まれていました。
しかし、メイン州当局に提出されたデータ侵害通知において、カーニバルはこのインシデントが5,995,277人に影響を与えたと述べています。
カーニバルは2026年5月27日に影響を受けた個人への通知を開始し、このインシデントを受けて、対象となる米国居住者にトランスユニオンを通じた2年間の無料信用監視サービスを提供しています。
「インシデント発生前からすでに講じていたセキュリティ対策に加え、同社はセキュリティおよび監視コントロールの強化を含む、システムをさらに保護するための措置を講じました。同社は、進化する脅威に対応するためにITセキュリティおよびデータプライバシーコントロールの強化を継続します」と同社は結論付けています。
今回の追加セキュリティ対策が効果を発揮することを期待したいところですが、サイバー犯罪者がカーニバルのシステムに侵入したのはこれが初めてではありません。詳細についてはこちらをご参照ください。
翻訳元: https://www.helpnetsecurity.com/2026/05/28/carnival-corporation-data-breach/
