- Lidlは、サードパーティのITサービスプロバイダーに対するサイバー攻撃を確認。氏名、電話番号、メールアドレス、生年月日、顧客番号を含む顧客データが流出した
- パスワード、決済情報、住所は影響を受けていないが、同社はフィッシングのリスクを警告し、なりすまし詐欺への警戒を呼びかけている
- インシデントは速やかに封じ込められ、当局への報告とフォレンジック専門家による調査が行われた。Lidlは32カ国で約12,900店舗を展開している
Lidlは、顧客の個人情報の一部が同社に保管されているデータに影響を及ぼした可能性のあるサイバー攻撃について、顧客に警告を行っています。
ドイツの格安スーパーマーケットチェーンである同社は、オランダ、ベルギー、ドイツの各公式サイトに掲載したデータ侵害通知の中で、取引先ITサービスプロバイダーの1社で発生したITセキュリティインシデントにより、Lidlオンラインショップ顧客のデータの一部が影響を受けたと発表しました。
機械翻訳による通知文には次のように記されています。「私たちは今週初め、このインシデントについて知らされました。高いITセキュリティ基準を維持していたにもかかわらず、身元不明の人物が別途保管されていた顧客データファイルに一時的にアクセスし、その一部が盗み出されました。オンラインショップ自体のシステムは影響を受けていません」
被害範囲は不明
Lidlによると、身元不明の攻撃者が持ち去ったのは、氏名、電話番号、メールアドレス、生年月日、顧客番号だといいます。パスワード、請求先・配送先住所、銀行情報、その他の決済情報は盗まれていないとされています。顧客アカウントについても影響は確認されていません。
しかし同社は、犯人らがこのデータを使って標的型フィッシングメールを送信する可能性が高いとして、顧客に警戒を続けるよう呼びかけています。
Lidlは「現時点でデータ悪用の具体的な証拠は確認されていませんが、念のためフィッシング未遂やなりすまし詐欺の可能性についてご注意をお願いします」と述べています。
同社は、標的となったITサービスプロバイダーの名称や、影響を受けた人数については明らかにしていません。ただ、同社が「直ちに対応」し、影響を受けたシステムの完全なセキュリティを回復するために「必要な措置」を講じたとだけ説明しています。また、関係当局への報告も行い、ITフォレンジック専門家を招集してインシデントの調査に当たらせました。
オランダのデータ保護当局や、ベルギーの「データ保護を所管する監督当局」など、各国の当局にも通知が行われています。
Lidlは欧州および米国の32カ国で、約12,900店舗を展開しています。