TokyoBlackHatNews

bleepingcomputer.com 4分で読了

DoorDash、10月に再びデータ侵害被害

Image

DoorDashは、10月にフードデリバリープラットフォームを襲ったデータ侵害について公表しました。

米国、カナダ、オーストラリア、ニュージーランドで数百万人の顧客にサービスを提供するDoorDashは、昨日の夕方から、このたび開示されたセキュリティインシデントの影響を受けたユーザーへのメール送信を開始しました。

あなたの個人情報が影響を受けました

「2025年10月25日、当社チームは、許可されていない第三者がアクセスし、個々人によって異なる一部のユーザーの連絡先情報を取得したサイバーセキュリティインシデントを確認しました」と、DoorDashからのメール通知には記載されています。

流出した可能性のある情報は以下のとおりです。

  • 氏名(名・姓)
  • 住所
  • 電話番号
  • メールアドレス

「その後の調査により、あなたの個人情報が影響を受けたことが確認されました。」

Image
10月のセキュリティインシデントを開示するDoorDashのメール通知
(BleepingComputer)

このインシデントは、DoorDashの従業員がソーシャルエンジニアリング詐欺の被害に遭ったことに端を発しています。DoorDashは事態を把握するとすぐに、インシデント対応チームが不正な第三者のアクセスを遮断し、調査を開始するとともに、法執行機関に通報しました。

これで、同社が被った顕著なセキュリティインシデントは3件目となります。

2019年には、DoorDashで発生したデータ侵害により、約500万人の顧客、配達員(Dasher)、加盟店の情報が不正な第三者に流出しました。

2022年8月には、DoorDashは同年にTwilioも攻撃した脅威アクターによる別のデータ侵害の被害を受けました。

La traduction française suit(フランス語訳は以下に続きます)

興味深いことに、この通知メールにはフランス語訳が追記されています。

French translation of security incident disclosure
セキュリティインシデント開示のフランス語訳 (BleepingComputer)

現時点では、これらのメールは主にDoorDash Canadaのユーザー(筆者自身を含む)に送信されているようです。今回の侵害が、DoorDashが事業を展開している米国やその他の地域のユーザーにも影響しているかどうかは、まだ確認できていません。

しかし、DoorDashのウェブサイトに掲載された日付なしのセキュリティ勧告には、このインシデントがカナダ以外にも及んでいる可能性を示唆する文言が含まれています。そこには、DoorDashによればアクセスされていないとされる米国特有のデータ種別、たとえば社会保障番号(SSN)への言及があります。(カナダの対応する番号は社会保険番号(SIN)です)

BleepingComputerは、この件に関する詳細な説明を求めて、DoorDashの広報チームに追加の質問を送っています。

「丸19日かかった」

ソーシャルメディア上の一部ユーザーは、DoorDashのインシデント対応や通知のタイミングについて疑問を呈し、批判しています。

「申し訳ないけど、これが『機微な情報ではない』なら、何がそうなんですか?クレジットカードやパスワード情報が盗まれなかったからといって、この件を過小評価しないでください。完全に感覚が麻痺しています」と、トロント在住のChris氏は投稿しました。

サイバーセキュリティ専門家のKostas T.氏も、メールの文言に反応し、「機微な情報にはアクセスされていない」という記述が、同社がアクセスされたと認めている個人情報の内容と矛盾していると指摘しました。

「DoorDashは、私の個人情報が漏えいしたデータ侵害について通知するのに、丸19日もかかりました。幸い、アカウントには偽名と転送用メールアドレスを使っていましたが、本物の電話番号と住所は漏えいしてしまいました」と、Xユーザーのitsohqay氏は書いています

「これはDoorDashによる極めてプロ意識に欠ける、危険で、潜在的には違法な行為です……。この対応プロセスは、カナダのデータ侵害法に違反しています。私は州の少額訴訟裁判所にDoorDashを提訴し、カナダプライバシーコミッショナー事務局に苦情を申し立てるつもりです。」

ユーザーは、DoorDashから送られてきたように見える、勧誘的な連絡や標的型フィッシングメールに注意する必要があります。

DoorDashは、疑わしいメール内のリンクや添付ファイルをクリックしないこと、また、見知らぬウェブサイトに個人情報を提供しないよう警告しています。

「当社はすでに、本件への対応として、セキュリティシステムの強化、従業員向けの追加トレーニングの実施、本件の調査を支援するための一流のサイバーセキュリティフォレンジック企業の招へい、そして継続的な捜査のための法執行機関への通報などの措置を講じています」と同社は述べています。

今回のインシデントに関して質問のあるDoorDashユーザーは、フリーダイヤル +1-833-918-8030 に電話し、参照コード「B155060」を伝えることができます。

BleepingComputerは、インシデントの正確な影響範囲について、DoorDashからの回答を待っています。

翻訳元: https://www.bleepingcomputer.com/news/security/doordash-hit-by-yet-another-data-breach-this-october/

ソース: bleepingcomputer.com
#2025年サイバーセキュリティ #DoorDash #インサイダーデータ侵害 #インシデント対応自動化 #カナダのプライバシー法 #クレジットカード情報漏えい #ソーシャルエンジニアリング #フードデリバリー業界 #フィッシング対策 #個人情報保護

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用