ドイツの大手ディスカウントスーパーマーケットチェーンLidlは、サービスプロバイダーで発生した情報漏えいにより攻撃者が個人情報を窃取したとして、ドイツ、ベルギー、オランダの顧客に通知しました。
欧州最大の食品小売企業であるSchwarz Group傘下のLidlは、従業員数37万6000人以上を抱え、欧州と米国で1万2000店舗を展開しています。
このディスカウント大手は先週、影響を受けた顧客にメールでインシデントを通知するとともに、ベルギーとオランダのサポートサイトにそれぞれ個別の通知を掲載しました。
これらの通知によると、情報漏えいは先週発覚したもので、攻撃者はLidlのオンラインショップを利用していた顧客のデータを窃取したとしています。
同社は「高度なITセキュリティ基準を講じていたにもかかわらず、身元不明の人物が顧客データを含む別途保管されていたファイルに一時的にアクセスし、その一部のデータが盗まれました。オンラインショップのシステム自体は影響を受けていません」と説明しています。
「盗まれたデータには、当社オンラインショップの顧客に関する情報(敬称、氏名、電話番号、メールアドレス、生年月日、顧客番号)が含まれています」としています。
攻撃者はオンラインショップのシステム自体にはアクセスしていないとしつつも、Lidlは、今回の情報漏えいに影響を受けた顧客のパスワードや請求先・配送先住所、銀行情報、その他の決済情報が含まれている可能性を現時点では排除できないとしています。
Lidlはさらに、ハッキングを受けたITサービスプロバイダーが既に警察に被害届を提出し、ITフォレンジックの専門家に依頼してインシデントの全容と影響範囲の調査を進めていると付け加えました。
このスーパーマーケット大手はまた、オランダのデータ保護当局にも今回の情報漏えいを通知し、影響を受けた顧客に対しては、盗まれた情報を悪用したフィッシング攻撃の可能性に注意するよう呼びかけています。
「現時点でデータが悪用されたという具体的な証拠はありませんが、フィッシング詐欺や成りすまし被害の可能性に備え、念のため注意喚起をいたします」と付け加えています。
「不審なメッセージには十分ご注意ください。送信者の身元は必ず確認してください。何か異常に気づいた場合は、情報を提供したり、不明なリンクをクリックしたりしないでください」としています。
BleepingComputerが本件について追加のコメントを求めたところ、Lidlの広報担当者からは即座の回答は得られませんでした。
攻撃者に先んじて、あらゆる層をテストする
セキュリティチームが検知できている攻撃成功事例はわずか54%、アラートが発せられるのはたった14%に過ぎません。残りは環境内を検知されないまま素通りしています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威の見逃しを防ぐ方法を紹介しています。