カーニバルのデータ侵害、約600万人の顧客に影響

eSecurity Planet のコンテンツおよび製品推奨は編集上独立しています。パートナーへのリンクをクリックした際に収益が発生する場合があります。詳細はこちら

カーニバル・コーポレーションで発生したデータ侵害により、約600万人の個人情報が流出し、大企業に対するソーシャルエンジニアリング攻撃の継続的な有効性が改めて示された。

同社は、2026年4月に脅威アクターがネットワークの一部に不正アクセスし、顧客データが窃取されたことを確認した。

「2026年4月14日、同社のITセキュリティチームは従業員アカウントに関わる不正なアクティビティを検知した。不正アクターはソーシャルエンジニアリングを用いて従業員を騙し、同社のITシステムの限定的な部分へのアクセスを取得した」と、同社はデータ侵害通知書の中で述べた。

カーニバル事件の主なポイント

カーニバルは、攻撃者が同社のIT環境の限定的な部分に侵入し、機密性の高い顧客情報をコピーしたことで、約599万人の個人が影響を受けたことを開示した。

同社は4月14日に不正なアクティビティを検知し、調査を開始した。その後の調査により、脅威アクターがソーシャルエンジニアリング手法を用いて従業員を騙し、内部システムへのアクセスを取得したことが侵害の発端であることが判明した。

カーニバルは公式に攻撃者を特定していないが、BleepingComputerの報道によれば、サイバー犯罪グループのShinyHuntersが侵害発生直後に関与を主張した。

同グループは、個人を特定できる情報（PII）を含む870万件以上のレコードと、数テラバイトに及ぶ社内企業データを窃取したと主張している。

Have I Been Pwned (HIBP)によるさらなる分析では、流出データには氏名、生年月日、メールアドレス、性別情報、地理的位置情報、ロイヤルティプログラムの詳細が含まれていたと報告されている。

同分析ではまた、流出した情報の多くが、カーニバル・コーポレーションが運営するクルーズブランドの一つであるホーランド・アメリカ・ラインの「マリナー・ソサエティ」ロイヤルティプログラムに関連していると指摘されている。

ShinyHuntersは、最近のInstructure Canvasインシデントを含む複数の恐喝キャンペーンに関与していることが知られている。

組織は、アイデンティティセキュリティ、データ保護、従業員意識向上プログラムを強化することで、同様のインシデントのリスク低減に役立てることができる。

フィッシング耐性の高い多要素認証（MFA）を導入し、条件付きアクセスポリシーと、アカウント回復および特権アクセス要求に対する強固なアイデンティティ検証手順を整備する。
定期的なセキュリティ意識向上トレーニングとソーシャルエンジニアリング演習を実施する。フィッシング、ビッシング、ヘルプデスクへのなりすましのシナリオも含めること。
最小権限アクセス制御と特権アクセス管理（PAM）ソリューションを適用し、不正アクセスおよびラテラルムーブメントのリスクを低減する。
不審な動作に対するアカウントアクティビティを監視し、異常なログインパターン、過剰なデータアクセス、大規模なデータ転送に注意する。
データ損失防止（DLP）ソリューションを導入し、機密データを暗号化することで、不正なデータ漏洩の防止と影響の軽減を図る。
ゼロトラストの原則を採用し、ユーザーとデバイスを継続的に検証し、重要なシステムをセグメント化し、業務上の必要性に基づいてアクセスを制限する。
インシデント対応計画をテストし、ソーシャルエンジニアリングとデータ恐喝のシナリオを含む攻撃シミュレーションソリューションを活用する。

ソーシャルエンジニアリング攻撃は特定の技術的脆弱性ではなくユーザーの信頼を標的とするため、予防・検知・対応のコントロールを組み合わせた多層的なアプローチが、潜在的な被害範囲の限定に役立つ。

カーニバルのインシデントは、既知のソフトウェア脆弱性の悪用に頼った攻撃から、恐喝を目的としたアイデンティティ侵害とデータ窃取へと、サイバー犯罪の活動が継続的にシフトしていることを反映している。

こうしたケースでは、脅威アクターは窃取または悪用された認証情報を利用して機密システムにアクセスし、データをコピーして組織に支払いを迫ることが多い。

FBIは、身代金や恐喝の要求に応じないよう組織および個人に勧告している。

アイデンティティベース攻撃がデータ侵害や恐喝キャンペーンでより大きな役割を果たし続ける中、組織はリスク軽減のためにゼロトラストソリューションの導入に注目している。