IKEAは現在、サイバー犯罪集団Lapsus$による大胆な主張を調査しています。同グループは、IKEAブランドの主要な国際フランチャイジーであるIngka Groupから、180ギガバイトにのぼる内部ファイルを窃取したと主張しています。Ingka Groupは32か国に数百もの実店舗とデジタルショップを展開しており、仮に流出が未確認であったとしても、この事態は市場に多大な影響を与えうる重大な出来事です。
流出データの詳細分析
Cybernewsの報道によると、攻撃者たちはダークウェブのポータルサイト上で不正取得データの販売を告知しました。注目すべき点として、リポジトリには消費者の個人情報は含まれていないとされています。攻撃者が標的としたのは社内のソースコードリポジトリであり、グローバルなeコマースのアーキテクチャ設計や物流システムのデータも含まれているとのことです。さらに、クラウドインフラおよび独自のMLOpsフレームワークへのアクセスを取得したとも主張しています。
現時点でIKEAはネットワーク侵入の事実を確認していません。企業広報担当者は、経営陣が入手可能なデータを精査中であることを認めましたが、調査が完了するまで詳細については明らかにしない方針としています。
公開サンプルの分析
一方、独立した研究者たちは公開されたプルーフ・オブ・コンセプト(PoC)ファイルを詳細に調査しました。このサンプルには約6,300件のディレクトリ名が含まれていますが、ファイルの内容は含まれておらず、構造的なレイアウトのみが確認できる状態です。そのため、独自コード・認証情報・内部ドキュメントが実際に存在するかどうかを決定的に検証することは、現時点では困難な状況となっています。
ソースコード流出がもたらす戦略的危険性
顧客データが含まれていなくても、インフラ情報の流出は依然として深刻なリスクをはらんでいます。独自コードやエンジニアリング図面は、企業アプリケーションの内部構造を白日の下にさらします。さらに、これらの設計資料は技術的な依存関係や潜在的な運用上の脆弱性までも明らかにしてしまいます。攻撃者にとって、こうした情報は次のネットワーク侵害を計画するための詳細な道案内となります。
Lapsus$の変遷と活動の追跡
Cybernewsはこの恐喝活動を、悪名高いLapsus$シンジケートと明確に結びつけています。同グループは従来の攻撃集団とは一線を画しており、標準的なファイル暗号化マルウェアを使用しません。その代わりに、独自の資産を窃取して公開をちらつかせる脅迫手法を取ります。主な侵入手段は巧妙なソーシャルエンジニアリングであり、これを駆使して境界防御を突破します。
これまでにLapsus$は、Microsoft、Uber、Nvidia、Samsung、Okta、Rockstar Gamesへの侵害に関与したとされています。2026年には、Adidas、AstraZeneca、Vodafoneへの追加侵害も主張しました。さらに2025年半ばにはScattered SpiderおよびShinyHuntersと統合し、「Scattered Lapsus$ Hunters」として知られる巨大な連合体を形成しています。
迫り来るサプライチェーンリスクの評価
現時点では、侵害の核心的な詳細は依然として未確認のままです。公開されたサンプルはファイルの実体ではなく、ディレクトリのメタデータを示すにとどまっています。しかし、これらの広範な主張が事実であれば、IKEAは深刻な事業上の危機に直面することになります。ブランドイメージへの甚大なダメージに加え、グローバルなサプライチェーンへの連鎖的なリスクにも対処しなければならない状況が待ち受けています。
翻訳元: https://meterpreter.org/ikea-lapsus-data-breach/
