国際的な大手オークションハウスであるサザビーズは、システム上で発生したデータ侵害事件について、脅威アクターによって財務情報を含む機密情報が盗まれたことを関係者に通知しています。
このハッキングは7月24日に検知され、どのようなデータが盗まれ、誰が影響を受けたのかを特定するための調査に2か月を要しました。
サザビーズは、美術品や高額品の世界的なオークションハウスであり、資産担保型融資サービスの提供者でもあります。
同社は毎年数十億ドル規模のオークション売上を取り扱っており、昨年の総売上は60億ドルに達しました。
同組織がメイン州司法長官事務所に提出した書類によると、今回の事件で流出したデータには、氏名、社会保障番号(SSN)、金融口座情報が含まれているとのことです。
「2025年7月24日、サザビーズは、何者かによって当社の環境から特定のサザビーズデータが持ち出された可能性があることを認識しました」と、影響を受けた方々に送られた通知書には記載されています。
「私たちは直ちに調査を開始し、関係する情報が何であり、誰に関連するかを特定・確認するためにデータの徹底的なレビューを行いました」 – サザビーズ通知
影響を受けた人数の総数は明らかにされていませんが、提出書類にはメイン州で2名、ロードアイランド州で2名が記載されています。
BleepingComputerは、今回の攻撃の詳細や影響範囲、米国および世界全体で流出した人数についてサザビーズに問い合わせましたが、記事公開時点では回答を得られていません。
執筆時点では、いかなるランサムウェアグループもサザビーズへの攻撃の責任を主張していません。
ランサムウェア集団は過去にも他のオークションハウスを標的にしており、大きな金銭的利益を狙っています。昨年はRansomHubハッカーがクリスティーズを侵害し、50万人の顧客情報を盗んだとされています。
サザビーズも過去に他のセキュリティインシデントを経験しており、特にウェブサイトに悪意のあるコードが仕込まれ、決済情報が収集されていました。2017年3月から2018年10月の間、ウェブスキマーが顧客のカード情報や個人情報を盗みました。同社は2021年にもサプライチェーン攻撃による同様の事件を経験しています。
今回データ侵害通知を受け取ったサザビーズの顧客には、TransUnionを通じて12か月間無料の本人確認保護およびクレジット監視サービスが提供され、90日以内に登録するよう案内されています。
更新 10/17 – サザビーズはBleepingComputerへの声明で、今回の事件は顧客ではなく従業員に影響したことを確認しました。そのため、記事内容とタイトルが修正されました。全文は以下の通りです。
「サザビーズは、特定の従業員情報が関与した可能性のあるサイバーセキュリティインシデントを発見しました。インシデント発覚後、直ちにデータ保護と対応の専門家、法執行機関と協力して調査を開始しました。当社は、影響を受けたすべての方に適切に通知しています。当社は企業および個人情報のセキュリティを非常に重視しており、システムとデータの保護に引き続き尽力しています。」 – サザビーズ広報担当者
