ディオール(Dior)は、米国の顧客に対し、5月に発生したサイバーセキュリティインシデントによって個人情報が漏えいしたことを知らせるデータ侵害通知を送付しています。
ディオールはフランスの高級ファッションブランドであり、世界最大のラグジュアリーコングロマリットであるLVMH(モエ・ヘネシー・ルイ・ヴィトン)グループの一員です。
ディオールブランド単体でも、年間120億ドル以上の収益を上げ、世界中に数百店舗を展開しています。
このセキュリティインシデントは2025年1月26日に発生しましたが、同社がそれを把握したのは2025年5月7日であり、その後、範囲と影響を特定するための社内調査を開始しました。
「当社の調査により、2025年1月26日に、ディオールの顧客情報を含むデータベースに不正な第三者がアクセスしたことが判明しました」と、影響を受けた方々に送付された通知には記載されています。
「ディオールは直ちに事態の封じ込めに取り組み、その後のディオールシステムへの不正アクセスの証拠は確認されていません。」
調査結果によると、以下の情報が漏えいしたことが判明しています:
- 氏名
- 連絡先情報
- 住所
- 生年月日
- パスポートまたは政府発行のID番号(該当する場合)
- 社会保障番号(該当する場合)
同社は、銀行口座や支払いカード情報などの決済情報は漏えいしたデータベースには含まれておらず、これらの情報は安全であることを明確にしています。
法執行機関には適切に通知され、また、第三者のサイバーセキュリティ専門家が封じ込め対応のために招集されました。
データ侵害通知を受け取った方々には、詐欺やフィッシング詐欺に警戒し、金融口座の取引を注意深く監視して、不審な活動があれば報告するよう勧めています。
また、通知書には、2025年10月31日までに申し込める、24か月間無料のクレジットモニタリングおよび個人情報盗難防止サービスの登録方法が記載されています。
今回のインシデントの日付は、ディオールが以前に開示した、韓国および中国での影響を認めた事案と一致しています。
同じくLVMHグループのブランドであるルイ・ヴィトンも、最近、英国・韓国・トルコの顧客に影響を与えるデータ侵害を公表しました。
同社の広報担当者からは明確な回答を得られませんでしたが、BleepingComputerは、ルイ・ヴィトンとディオールのインシデントが同一のサイバー攻撃によるものであることを把握しました。
この攻撃は、ShinyHuntersという恐喝グループによるものとみられ、LVMHの顧客情報が第三者ベンダーのデータベースを通じて侵害されました。
もしこれが事実であれば、ルイ・ヴィトンも米国顧客に関する同様の開示を行う可能性があります。
BleepingComputerは、何人の米国顧客が影響を受けたかについてディオールに問い合わせましたが、現時点で回答は得られていません。
クラウド検知&レスポンス入門
ビジネスに影響が及ぶ前に、新たな脅威をリアルタイムで封じ込めましょう。
この実践的で分かりやすいガイドで、クラウド検知&レスポンス(CDR)がセキュリティチームにどのような優位性をもたらすかを学びましょう。