2025年11月、スポーツウェア大手のUnder ArmourがEverestランサムウェアグループの攻撃を受けたという報道が最初に出たとき、その内容は気が滅入るほど見慣れたものでした。大手ブランド、膨大なデータ、そして多くの未解決の疑問。それ以来、実際に何が起きたのかをめぐる物語は、慎重な企業声明と、現在大規模な顧客データセットがオンライン上で流通していることを強く示す証拠という、相反する2つの見方に分かれています。
公的な発表や法的文言では、調査が継続中であること、限定的な確認にとどまること、そして「潜在的な」影響に関する慎重な言い回しが語られています。多くの顧客にとっては、詳細はまだ明らかになっておらず、どれほど深刻な事案なのか不明だという印象になります。一方で、米国で提起された集団訴訟では、データ保護における過失が主張され、2025年11月のランサムウェア攻撃の際に、顧客データ、そして場合によっては従業員データを含む機微情報が大規模に持ち出された(流出した)ことに言及しています。こうした訴訟は定義上あくまで主張ではありますが、これが軽微な事件ではないという見方に重みを加えています。
Everestランサムウェアグループは、Under Armourが「期限までに対応しなかった」とされることを受けて、この侵害の責任を主張しました。
サイバー犯罪者側の視点では、これは交渉が終了し、データが公開されたことを意味します。
Everestのリークサイトには、次のようにも記載されています。
「完全公開後、すべてのデータはさまざまなハッカーフォーラムやリークデータベースサイトに複製された。」
これは、投稿者がデータセットに氏名、メールアドレス、電話番号、所在地、性別、購入履歴、嗜好が含まれていると主張する、このような投稿によっても裏付けられているように見えます。データセットには191,577,365件のレコードが含まれ、そのうち72,727,245件がユニークなメールアドレスだとされています。
では、Under Armourの顧客はどうすればよいのでしょうか。慎重な企業側の説明と、攻撃者側の強硬な主張は、どちらも完全に正しいとは限りません。しかし、現実世界のリスク評価という点では、両者が同じ重みを持つわけではありません。ランサムウェアグループがアクセス権限について嘘をつくことはありますが、大規模なリーク掲載を立ち上げ、サンプルデータを公開し、地下フォーラムに配布するのは、影響を受けたユーザーによってすぐに否定され得るハッタリにしては手間がかかりすぎます。Everestサイト上の「Database Leaked(データベース流出)」というステータスと合わせると、攻撃者の主張の細部がすべて正確でないとしても、相当規模の顧客データベースがすでに流出し、出回っている可能性が高いと考えられます。
データ侵害後に自分を守る方法
自分がデータ侵害の影響を受けたと思う場合は、次の手順で身を守れます。
- 企業の案内を確認する。 侵害の内容はケースごとに異なるため、企業に確認して何が起きたのかを把握し、提示される具体的な助言があればそれに従ってください。
- パスワードを変更する。 パスワードが盗まれても、変更すれば盗人にとって無価値にできます。他で使っていない強力なパスワードを選びましょう。さらに良いのは、パスワードマネージャーに生成してもらうことです。
- 二要素認証(2FA)を有効にする。 可能であれば、FIDO2準拠のハードウェアキー、ノートPC、またはスマートフォンを第2要素として使用してください。2FAの一部はパスワードと同じくらい簡単にフィッシングされることがありますが、FIDO2デバイスに依存する2FAはフィッシングできません。
- なりすましに注意する。 窃盗犯は、侵害を受けたプラットフォームを装ってあなたに連絡してくる可能性があります。公式サイトで被害者に連絡しているかどうかを確認し、別の連絡手段を使って連絡してきた相手の身元を確認してください。
- 急がない。 フィッシング攻撃は、知っている人物やブランドになりすまし、配達未完了、アカウント停止、セキュリティ警告など、緊急対応が必要に見えるテーマを使うことがよくあります。
- カード情報を保存しないことも検討する。サイトにカード情報を記憶させるのは確かに便利ですが、小売業者が侵害を受けた場合のリスクが高まります。
- オンライン上で個人情報が違法に取引されているのが見つかった場合に通知し、その後の復旧にも役立つID監視を設定する。
