Lidlは、同社が利用するサードパーティIT事業者の1社に対するサイバー攻撃により、ドイツ、ベルギー、オランダのオンラインショップ顧客の個人データが流出したことを確認しました。今年に入り欧州の大手小売企業を相次いで襲っているサプライチェーン侵害の最新事例となります。
Schwarz Groupが親会社であるこのディスカウント系スーパーマーケットチェーンは、先週この件について報告を受けたとし、影響を受けた顧客にメールで通知するとともに、ドイツ、ベルギー、オランダの各サポートサイトで侵害に関する告知を公開する対応を取ったと説明しています。Lidlの声明によれば、身元不明の何者かが「別途保管されていた顧客データを含むファイル」に一時的にアクセスし、その一部を窃取したとのことですが、「オンラインショップシステム自体には影響がなかった」と強調しています。
今回の事案は、小売企業のリスクの多くが今や自社の管理外に存在することを改めて浮き彫りにしています。Black DuckのプリンシパルセキュリティエンジニアであるBoris Cipot氏は次のように述べています。「今回の事案は、セキュリティ体制の強さが最も脆弱なサードパーティのレベルに規定されてしまうことを示す典型的な教訓です。小売企業自身のシステムが持ちこたえたとしても、委託先サービスプロバイダーが侵害されれば、数百万人規模の顧客がなりすまし詐欺やフィッシング、アカウント乗っ取り攻撃にさらされる可能性があります。氏名や生年月日、電話番号、メールアドレスといった個人情報は単独ではリスクが低く見えるかもしれませんが、組み合わされることでソーシャルエンジニアリングの強力な武器となります。さらに、消費者やブランドへの信頼への波及コストは、事案そのものよりもはるかに長く尾を引くことがあります」
同社によると、流出したデータには顧客の敬称、姓名、電話番号、メールアドレス、生年月日、顧客番号が含まれています。Lidlは、パスワードや請求先・配送先住所、銀行情報、その他の決済情報が影響を受けたという証拠は現時点ではなく、顧客アカウント自体も侵害されていないとしています。同社はさらに、影響を受けたIT事業者が直ちに対応し、システムの完全なセキュリティ回復に向けた措置を講じたと付け加えています。
Comparitechの消費者プライバシー擁護担当であるPaul Bischoff氏は、流出したデータの性質から直接的な危険は限定的であるとしつつも、フィッシングのリスクは依然として現実的だと指摘しています。「今回の侵害は残念な出来事ですが、流出したデータそのものが被害者の金銭や身元に直接的な脅威をもたらすわけではありません。例えばクレジットカード番号や社会保障番号は含まれていません。ただし詐欺師はこのデータを使って、対象を絞ったフィッシング攻撃やその他の詐欺を仕掛ける可能性があるため、悪意あるメールやテキストメッセージには注意が必要です。詐欺師はLidlや関連企業を装い、被害者を悪意あるリンクのクリックへと誘導しようとするかもしれません」
Cipot氏は、これまでの同社の開示対応についてはより慎重な評価を示しつつ、真の試練はこれからだと注意を促しています。「Lidlが迅速に顧客への通知に動き、パスワードや住所、決済情報が関与している可能性を含め、現時点でわかっていないことについても率直に説明している点は評価に値します。こうした誠実さは、GDPRの下で求められる適切な姿勢と言えます。今後の真の試練は、そのフォローアップ、すなわちフォレンジック調査をどれだけ迅速に完了させるか、被害範囲が判明するにつれてどれだけ明確に情報を更新して伝えるか、そして今後サービスプロバイダーに課すセキュリティ要件をどれだけ厳格に見直すか、という点にあります」
Lidlは警察に被害届を提出し、外部のITフォレンジック専門家を起用して事案の範囲の調査に着手するとともに、オランダおよびベルギーのデータ保護当局を含む関連するデータ保護当局に通知を行いました。同社は侵害を受けたサービスプロバイダーの名称や、影響を受けた顧客数については明らかにしていません。本記事執筆時点では、犯行声明を出している脅威アクターは確認されていません。
欧州最大の食品小売企業であるLidlは、欧州および米国の32カ国で約12,900店舗を展開し、376,000人を超える従業員を抱えています。今回の侵害により同社は、この1年間にサプライチェーン攻撃やサードパーティ経由の攻撃を受けた小売企業のリストに新たに加わることになりました。このリストにはMarks & Spencer、Co-op、Louis Vuitton、Pandora、Harrodsなどが含まれ、その多くはScattered Spiderと呼ばれるハッキング集団との関連が指摘されています。HuntressのEMEA担当vCISO兼サイバーセキュリティアドバイザーであるMuhammad Yahya Patel氏は、このパターンはもはや見過ごせないほど一貫していると述べています。「また大手小売企業がサードパーティのサービスプロバイダー経由で侵害を受けました。このパターンはもはや一貫性を持って繰り返されており、はっきりと指摘する必要があります。多くの組織のセキュリティ体制における最も脆弱なポイントは、自社システムそのものではなく、顧客データに周辺的に触れる拡張されたサービスプロバイダーのエコシステムにあるのです」
Lidlは顧客に対し、フィッシングの試みに警戒するよう呼びかけており、情報を開示したりリンクをクリックしたりする前に送信者の真正性を確認すること、また自身のLidlアカウントや最近の注文に言及するメッセージには注意するよう求めています。Patel氏も、同社のオンラインストアを利用したことのある人々に向けて同様の助言を直接的に述べています。「ドイツ、ベルギー、オランダでLidlのオンラインストアを利用したことがある方は、これを行動を起こすきっかけと捉えてください。まずLidlアカウントのパスワードを直ちに変更し、同じパスワードを他のサービスでも使い回している場合は、そちらも変更してください。パスワードの使い回しは、攻撃者が1件の侵害を複数のアカウント侵害へと広げる際に最も効果的な手段であり続けています。Lidlを名乗り、詳細情報の確認やリンクのクリックを求める連絡を受け取った場合は、返信するのではなく、Lidlの公式サイトを通じて直接連絡を取ってください」
Cipot氏も同様の助言を示し、この種の流出データはニュースの見出しが薄れた後も、長く詐欺に悪用され続ける傾向があると注意を促しています。「顧客はこれを単なる通知としてではなく、警鐘として受け止めるべきです。Lidlのパスワード(および他で使い回しているパスワード)を直ちに変更し、利用可能な箇所では多要素認証を有効にし、自身のLidlアカウントや最近の注文に言及するフィッシングメールやテキストメッセージ、電話には最大限の警戒を払ってください。攻撃者は今後数週間から数カ月にわたり、この流出データを間違いなく悪用して、説得力のある詐欺を仕掛けてくるでしょう。銀行やカードの明細を注意深く確認し、可能な地域にお住まいの場合はクレジットフリーズの利用も検討してください」