- マンゴーがサードパーティの侵害により顧客情報を流出、ただし金融データは含まれず
- 通知でフィッシングリスクを警告、スペイン当局および警察に通報済み
- データ恐喝グループとして知られるShinyHuntersが、最近の小売業界の侵害に関与している可能性
世界中に2,500以上の店舗を持ち、120以上の市場で展開する小売大手マンゴーは、サードパーティによるデータ侵害を受け、未公表の人数分の顧客の機密情報を失いました。
今週初め、同社は顧客にデータ侵害の通知を送り、今後発生しうるソーシャルエンジニアリングやその他の攻撃について警告しました。侵害では、マンゴーの外部マーケティングサービスプロバイダーの1社で発生した侵害を通じて、一部の個人情報がアクセスされたとしています。
攻撃者(名前は公表されていません)は、顧客の名(姓は取得されていません)、国、郵便番号、メールアドレス、電話番号を盗みました。銀行情報やクレジットカード情報、IDやパスポート、ログイン情報やパスワードなどの機密性の高い金融情報は流出していないとマンゴーは強調しています。
ShinyHuntersの仕業か?
同社は通常通り営業を続けており、自社インフラが侵害や危険にさらされた事実はないと確認しています。この攻撃により、スペインのデータ保護庁(AEPD)や法執行機関への通報を含む、同社の通常のセキュリティプロトコルが発動されました。
Illumioの業界戦略担当VPであるラグ・ナンダクマラ氏によれば、最近の小売業界への一連の攻撃は、これらの企業がサードパーティサプライヤーのリスク評価を十分に行っていないことを示しているといいます。「組織は依然としてサプライヤーに過度な暗黙の信頼を置いており、調査によると現在はサプライチェーンからのランサムウェアリスクを懸念する組織が減少しています」と彼は説明します。
「攻撃の影響を封じ込め、制限することに注力し、脅威が重要なサービスを麻痺させたり、機密データを流出させたりする前に阻止する必要があります。」
マンゴーは、侵害されたサードパーティが誰なのか、また小売業者との関係についても明らかにしていません。攻撃者の名前や侵害の詳細についても言及していません。
しかし、ShinyHuntersというグループは、ここ数か月にわたり大手小売業者を標的にしており、M&S、ハロッズ、Coop、その他多数の小売業者を侵害しています。グッチやバレンシアガなどを傘下に持つケリングも標的の一つでした。
ShinyHuntersは主にランサムウェアグループであり、標的のサーバーに暗号化プログラムを仕掛けるのではなく、単に機密データを抜き取り、盗んだファイルの削除と引き換えに暗号通貨での支払いを要求します。要求が満たされない場合、データはインターネット上に流出し、被害者がデータ監視機関の標的となったり、集団訴訟につながる可能性があります。
