Toys “R” Us カナダは、脅威アクターが以前にシステムから盗み出した顧客記録を漏洩させたセキュリティインシデントについて、顧客にデータ漏洩の通知を送付しました。

同社は2025年7月30日、脅威アクターがダークウェブにToys “R” Usの顧客データと主張するものを投稿したことで、データ漏洩を発見しました。

第三者の専門家の協力を得て行われた脅威アクターの主張の調査により、その情報が実際に本物であることが確認されました。

「2025年7月30日、インデックスされていないインターネット上で、第三者が当社のデータベースから情報を盗んだと主張する投稿を通じて、当社はこの事態を認識しました」と顧客に送付された書簡には記載されています。

「当社は直ちに第三者のサイバーセキュリティ専門家を雇い、封じ込めとインシデント調査を支援してもらいました。」

「調査の結果、許可されていない第三者が、個人情報を含む当社顧客データベースの特定の記録をコピーしていたことが判明しました。」

漏洩したデータの種類は個人ごとに異なり、以下のいずれかまたは複数が含まれる可能性があります: 

• 氏名
• 住所
• メールアドレス
• 電話番号

Toys “R” Usは、アカウントのパスワード、クレジットカード情報、その他「同様の機密データ」は漏洩していないと強調しています。

Toys “R” Us カナダはToys “R” Usの子会社で、国内に40店舗を展開し、おもちゃ、ビデオゲーム、衣料品を販売しています。

漏洩の発見後、同社はサイバーセキュリティ専門家の指導のもと、ITシステムのセキュリティを強化しました。

また同社は、カナダの該当するプライバシー規制当局にデータ漏洩について通知する手続きを進めていると述べています。

一方、通知を受け取った方には、迷惑な連絡を無視し、Toys “R” Usを装って個人情報を求めるフィッシングメッセージに十分注意するよう助言しています。

BleepingComputerは、データを漏洩させた脅威アクターに関する詳細、このインシデントで何人の顧客が影響を受けたか、身代金の要求があったかどうかについて同社に問い合わせましたが、公開時点で回答は得られていません。