スペインのエネルギー大手エンデサ(Endesa)は、サイバー犯罪者が2,000万人超に関連するとされる膨大な個人情報を持ち去ったと主張したことを受け、データ侵害について顧客に警告している。
エンデサはスペイン最大の電力会社で、イタリアのエネル(Enel)グループの子会社。イベリア半島全域で、数百万の家庭や企業に電力とガスを供給している。
同社はウェブサイトにひっそりと掲載した告知の中で、顧客情報の管理に用いられる商用プラットフォームに対する「不正かつ不当なアクセス」を発見し、インシデント対応手順の発動と社内調査を開始したと述べた。
同社は侵入を封じ込めるため「直ちに」対応したとする一方、扉が閉ざされる前に攻撃者が「当社顧客のエネルギー契約に関連する特定の個人データ」にアクセスし、持ち出した可能性があることを認めた。
関与した情報には、本人確認情報および連絡先情報、国民身分番号、契約関連データが含まれる可能性があり、一部顧客の銀行口座番号(IBAN)も露出した可能性がある。エンデサはパスワードにはアクセスされていないとし、これは大規模なアカウント乗っ取りを回避し得る小さな救いではあるが、身分証情報や銀行情報が今や出回っているかもしれない顧客にとっては、ほとんど安心材料にならない。
影響を受けた顧客には通知済みで、GDPRの要件に従い、スペインのデータ保護監督機関であるAgencia Española de Protección de Datos(スペインデータ保護庁)にも報告したという。
一方でエンデサが公に触れていないのが、サイバー犯罪監視の界隈で出回っている、はるかに衝撃的な一連の主張だ。「Spain」を名乗る不正者が本件の犯行を主張し、2,000万人超の個人データを含む1.05TBのデータベースを盗み出したと述べている。
念のため言えば、サイバー犯罪者は標的に圧力をかけるため戦果の規模を誇張することで悪名高く、企業側は鑑識作業が完了し弁護士の見解が出るまで、できるだけ口を閉ざす傾向がある。
The Registerは、攻撃者の主張の正確性を確認または否定できるかエンデサに問い合わせたが、回答は得られなかった。同社はまた、どのようにシステムが侵害されたのか、侵害に盗まれた認証情報、ソフトウェアの欠陥、あるいは別の侵入口が関与していたのかについても明らかにしていない。
エンデサは顧客に対し、不審な連絡、特にフィッシングメール、予期しない電話、個人情報や銀行情報の提供要求に注意するよう助言している。調査で追加の関連情報が判明した場合は、さらなる更新を公表するとしている。
これが限定的な露出にとどまるのか、それともスペイン最大級のデータ侵害の一つとなるのかは、最終的に調査が何を突き止めるかにかかっている。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/14/endesa_breach/
