出典:Alamy Stock Photo(Ken Wolter)
ナイキは、恐喝グループWorldLeaksが世界的スポーツウェアブランドのファイル1.4テラバイト超を流出(持ち出し)させ、同グループのリークサイトに公開したと主張したことを受け、潜在的なデータ侵害について調査している。
週末にXへ投稿された投稿で、脅威インテリジェンス組織JustaBreachは、ナイキの内部システムから盗まれたとされる188,347件のファイルが漏えいしたと報告した。Dark Readingへの声明で、同スポーツウェア企業は、実際にインシデントが発生したかどうかを現在調査中であることを確認した。
「当社は常に消費者のプライバシーとデータセキュリティを非常に重視しています」とナイキは声明で述べた。「潜在的なサイバーセキュリティインシデントを調査しており、状況を積極的に評価しています」。同社は、調査の一環としてどのような対応を取っているかについては明らかにしなかった。
一方、JustaBreachは、身代金の期限が1月25日ごろ(GMT午後6時ごろ)に切れた後、WorldLeaksが今週初めにナイキをリークサイトに追加したと主張し、今回の漏えいを「全面的なデータ投下(full-on data dump)」と呼んだ。また、侵入元が第三者の侵害だとするうわさにも言及した。WorldLeaksは、昨年活動を停止した悪名高いランサムウェアグループHunters Internationalの後継として登場した。
投稿によれば、「これは、第三者ソフトウェア/脆弱なサプライチェーンに依存するあらゆる大手ブランドにとっての警鐘だ」という。
ナイキの大量ファイルが漏えい
報告されている漏えいファイルの一覧が本当にナイキのものだとすれば、同社のプライバシーにとって大きな打撃であり、脅威アクターにとっても大きな戦果となる。2020年から2026年にわたるアーカイブが露出している。
流出したファイル群には、ナイキの研究開発(R&D)および製品開発チームの資産が含まれており、技術パック、部品表(BoM)、試作品、回路図、設計ファイルなどが挙げられる。JustaBreachによれば、この侵害はナイキのサプライチェーンおよび製造部門にも影響し、工場監査、パートナー情報、生産プロセス、ワークフロー、検証情報が漏えいデータに含まれているという。投稿によれば、WorldLeaksは戦略プレゼンテーション、従業員トレーニング、社内動画、企業提携に関する内部業務文書も暴露した。
現時点では、恐喝グループが漏えいさせたファイルに、メールや決済データに含まれるような個人を特定できる情報(PII)が露出したことを示す証拠はない。WorldLeaksは昨年、ランサムウェアでファイルを暗号化するのではなく、機微データの窃取と暴露に注力する「恐喝専業」グループとして登場した。
JustaBreachによれば、漏えいしたファイルは「産業スパイ」の機会を示唆しているように見える。これはそれ自体がナイキにとって脅威であり、同社は近年、競合に売上と市場シェアを奪われた後、ブランド再建の途上にある。
これほど多くの機微な企業データが偽造業者の手に渡れば、正規品と闇市場の偽物との品質差を縮めるうえで彼らに優位性を与えかねず、企業にとって重要な時期にナイキの正規ビジネスへ大きな打撃となる可能性があるとJustaBreachは指摘した。
ナイキおよびパートナーにとっての露出リスク
小売価格戦略や事業プレゼンテーションが含まれていることで、ナイキの長期計画や事業利益率が競合に露呈する可能性もある。とりわけこの露出は、専門家が「バリューチェーン恐喝」と呼ぶ傾向の高まりを示している。これは消費者データではなくブランドの競争優位を標的にし、それを人質に身代金を要求するものだ。
漏えいに含まれるデータの内容次第では、主要なビジネスパートナーや小売チェーンも侵害によるリスクにさらされる可能性がある。第三者データの露出は、昨夏のSalesforce侵害の波で影響を受けた組織にとって主要な懸念事項だった。ナイキの競合であるアディダス や他のトップブランドは、2つの異なる脅威キャンペーンがSalesforceインスタンスを侵害して企業データを入手したことで、侵害被害を受けた。世界的ファッションブランドのシャネルとルイ・ヴィトン、高級宝飾店のティファニー(Tiffany Co.)も、他の多くの企業と同様にSalesforce侵害の影響を受けた。
実際、大手小売ブランドは、企業が身代金を支払う判断をした場合に高額な支払いが見込めることから、ランサムウェア集団やその他の恐喝志向グループにとって一貫して標的となっている。
