アメリカの家具ブランドLovesacは、サイバーセキュリティインシデントにより個人情報が漏洩したとして、非公開の人数に影響を与えるデータ侵害が発生したことを警告しています。
Lovesacは家具のデザイン、製造、販売を行う企業で、アメリカ国内で267のショールームを展開し、年間純売上は7億5,000万ドルにのぼります。
同社は「サクショナル」と呼ばれるモジュラーソファや、「サック」と呼ばれるビーンバッグで特によく知られています。
影響を受けた個人に送付された通知によると、2025年2月12日から2025年3月3日の間に、ハッカーが同社の内部システムへ不正アクセスし、そこに保管されていたデータを窃取しました。
Lovesacは2025年2月28日にこの侵害を発見し、完全に状況を修復し脅威アクターのネットワークへのアクセスを遮断するまでに3日かかったことになります。
盗まれたデータには、氏名のほか、通知サンプルには記載されていないその他の個人情報が含まれています。
同社は、このインシデントが顧客、従業員、または契約者のいずれに影響するか、また影響を受けた人数の正確な数についても明らかにしていません。
通知書には、受取人がExperianを通じて24か月間のクレジットモニタリングサービスに登録するための手順が記載されており、2025年11月28日まで利用可能です。
同社は、現時点で盗まれた情報が悪用された形跡はないと述べていますが、影響を受けた方々に対してフィッシング詐欺などに警戒するよう呼びかけています。
ランサムウェア集団がLovesacへの攻撃を主張
Lovesacは攻撃者の名前やデータ暗号化について通知書で言及していませんが、RansomHubランサムウェア集団が2025年3月3日に攻撃を主張しました。
脅威アクターはLovesacを自らの恐喝ポータルに追加し、侵害を発表、身代金が支払われなければ盗んだデータを公開する計画を示しました。実際にこの脅しが実行されたかどうかは確認できていません。
RansomHubのランサムウェア・アズ・ア・サービス(RaaS)事業は2024年2月に登場し、それ以来、派遣会社Manpower、油田サービス大手Halliburton、Rite Aid薬局チェーン、カワサキの欧州部門、クリスティーズオークションハウス、米国の通信事業者Frontier Communications、医療非営利団体Planned Parenthood、イタリアのボローニャ・フットボールクラブなど、著名な被害者リストを増やしてきました。
このランサムウェア事業は2025年4月にひっそりと閉鎖され、多くのアフィリエイトがDragonForceに移行しました。
BleepingComputerはLovesacに対し、今回のインシデントや影響、影響を受けた顧客数などについて問い合わせており、回答があれば本記事を更新します。
