ランサムウェア攻撃者がアンダーアーマーの顧客データを流出

米国のスポーツウェア企業アンダーアーマーは、ロシア語圏のサイバー犯罪組織が7,270万人の顧客に関するデータを公開したことを受け、ランサムウェア攻撃の「広報対応」段階にある。

ランサムウェア集団Everestは昨年11月、上場企業であるアンダーアーマーを被害者として自らのデータ流出サイトに初めて掲載し、343GBのデータを盗んだと主張した。ランサムウェア集団は通常、直接の脅迫が失敗した後、圧力戦術として、身代金を支払わない被害者だけを流出サイトに掲載する。こうした掲載は、将来の被害者に対しても、同じようにデータを流出させられる運命を避けるために、犯罪者の恐喝要求に早期に屈するよう圧力をかける効果がある（参照：ランサムウェア集団のデータ流出ブログは嘘：信用するのをやめよう）。

無料のデータ侵害通知サービス「Have I Been Pwned」は、侵害により影響を受けた各顧客の氏名、生年月日、メールアドレス、性別、地理的所在地、購入情報が露出したと述べた。同サービスは流出データのコピーを受け取り、水曜日に侵害されたメールアドレスのコーパスに追加した。同サービスは、新たな侵害で登録済みのメールアドレスが見つかった場合にアラートを送信する。

1996年創業のボルチモア拠点のアンダーアーマーは、「無許可の第三者が特定のデータを取得したとの主張を認識している」と述べた。

「外部のサイバーセキュリティ専門家の支援を受けて、この問題に関する調査を継続しています。重要な点として、現時点では、この問題がUA.com、または決済処理や顧客パスワードの保管に使用されるシステムに影響したことを示す証拠はありません」と、広報担当のマット・ドーニック氏はTechCrunchに語った。

「現時点で分かっているのは、機微情報と見なされ得る何らかの情報を含む影響顧客の数は、ごく小さな割合だということです」とドーニック氏は述べた。

パフォーマンスアパレル、フットウェア、アクセサリーのメーカーである同社は、攻撃者がいつシステムに侵入した可能性があるのか、また検知されるまでどれほどの期間アクセスを維持していたのかについて、まだ明らかにしていない。

「貴社の社内文書の流出には、顧客および従業員の多種多様な個人文書と情報が含まれている」とEverestは掲載文で書いた。

身代金は支払われなかったとし、Everestはデータを流出させ、さらに「すべてのデータがさまざまなハッカーフォーラムや流出データベースサイトに複製された」と主張した。

ダークウェブ上のサイトに出回った流出データに基づくサイバー犯罪フォーラムでのやり取りは、盗まれたデータには一部顧客の閲覧商品履歴も含まれ、総レコード数は1億9,100万件超であることを示唆している。

この種の侵害の後に典型的に見られるように、集団訴訟はすぐに続く。アンダーアーマーも例外ではなく、メリーランド州およびテキサス州の連邦裁判所で複数の集団訴訟がすでに提起されている。訴状では、同社がシステムおよび顧客データを十分に保護・確保できていなかったと非難している。

これはアンダーアーマーにとって初めてのデータ侵害ではない。2018年、同社のアスレチックアパレルメーカーは、無許可の侵入者が、同社のMyFitnessPalモバイルアプリおよびウェブサイトのユーザー1億5,000万人分のアカウント情報（ハッシュ化されたパスワードを含む）にアクセスしたと述べた。

Everestグループは活動が活発で、最近ではマクドナルド・インド、自動車メーカーのクライスラー、製造業者のAsusなどを被害者として主張している。同グループの他の被害者とされる組織には、スペインのイベリア航空、スウェーデン国有の送電網運用事業者Svenska kraftnät、ソフトウェア企業Collins Aerospace、および多数の医療関連組織が含まれる。