英国のフィンテック企業Checkoutは、脅威グループShinyHuntersが同社のレガシーなクラウドストレージシステムの1つに侵入し、現在、身代金を要求して同社を恐喝していると発表しました。
同社は、盗まれたデータが加盟店基盤の相当部分に影響するものの、身代金は支払わず、代わりにセキュリティ強化への投資を行うとしています。
Checkoutはcheckout.comを運営しており、統合決済API、ホスト型決済ポータル、モバイルSDK、既存プラットフォームで利用できるプラグインを提供するグローバルな決済処理企業です。
多数の決済手段に対応し、不正検知、本人確認(KYC)、および紛争処理システムを提供しています。
同社のシステムは、eBay、Uber Eats、adidas、GE Healthcare、IKEA、Klarna、Pinterest、Alibaba、Shein、Sainsbury’s、Sony、DocuSign、Samsung、HelloFreshなど世界最大級の企業の一部に組み込まれており、商品取扱高で数十億を処理しています。
Checkoutによると、ShinyHuntersは適切に廃止されていなかったサードパーティーのレガシーシステムにアクセスし、2020年以前の加盟店データ(社内の運用文書やオンボーディング資料を含む)が保存されていたとのことです。
「先週、Checkout.comは『ShinyHunters』として知られる犯罪グループから連絡を受け、Checkout.comに関連するデータを入手したと主張し、身代金を要求してきました」と、同社の発表には記されています。
「調査の結果、このデータは、2020年およびそれ以前に使用されていたレガシーなサードパーティーのクラウドファイルストレージシステムへの不正アクセスによって取得されたことが判明しました。」
Checkoutは、影響を受けるのは現在の加盟店基盤の25%未満と見積もっていますが、過去の顧客にも影響が及んでいます。
ShinyHuntersは国際的なサイバー犯罪グループで、大規模組織からデータを流出させ、通常はフィッシング、OAuth攻撃、またはソーシャルエンジニアリングによって侵入し、その後データを公開しない見返りに高額な支払いを要求します。
この脅威グループは最近、Oracle E-Business Suiteのゼロデイの悪用(CVE-2025-61884)に加え、今年初めにSalesforce/Driftへの攻撃にも関連付けられており、多数の組織に影響を与えました。
Checkout.comは、ShinyHuntersに身代金を支払わず、その金額をカーネギーメロン大学およびオックスフォード大学サイバーセキュリティセンターに寄付し、サイバー犯罪関連の研究プロジェクトの資金に充てると述べました。
同時に、同社はセキュリティ対策を強化し、今後より適切に顧客を保護していくことを約束しました。
Checkout.comは、侵害されたサードパーティーのクラウドファイルストレージシステムの名称や侵害手法については明らかにしていません。
BleepingComputerは、さらなる情報を得るためにこの決済ソリューション提供企業に連絡しており、返答があり次第、更新を追加します。
