- フィッシング経由のTenga サイバー攻撃により、顧客の名前、メール、注文・サービス詳細が露出
- 攻撃者が受信箱にアクセスし、データを流出させ、従業員および顧客にスパムを送信
- 同社は認証情報をリセット、多要素認証を有効化し、顧客にパスワード更新と警戒を呼びかけ
日本のアダルトグッズメーカーTengaは、サイバー攻撃を受け、顧客データの一部を失ったと報告されています。
TechCrunchは、Tengaが従業員に送信したと思われるデータ侵害通知書を確認したと主張しており、Tenga従業員をフィッシングで標的にした誰かが、その従業員の受信箱へのアクセスを取得した経緯を述べています。
そこから、攻撃者は顧客の名前、メールアドレス、および「注文詳細またはカスタマーサービス問い合わせを含む可能性のある」過去のメール対応を流出させることができました。
多要素認証の導入
データの性質に関する情報は不明確ですが、注文詳細とカスタマーサービス問い合わせの盗難は、高度でカスタマイズされたフィッシング攻撃に十分であり、アカウント侵害、詐欺、詐欺的な送金などにつながる可能性があります。
攻撃者はまた、受信箱へのアクセスを使用して、従業員と顧客を含む一部の連絡先にスパムメッセージを送信しました。
影響を受けた人数や、誰かがこの攻撃の責任を既に主張しているかどうかは不明です。それにもかかわらず、Tengaはすべての顧客に対し、念のため、ほとんどのアカウントのパスワードを更新し、受信メールメッセージに注意するよう促しました。特にTengaから送信されたと主張するメッセージには注意してください。
この攻撃に対応して、同社は侵害されたユーザーアカウントの認証情報をリセットし、システム全体にわたって多要素認証(MFA)を有効化しました。攻撃前にMFAがある程度導入されていたかどうかは不明であり、同社はMFAが事前に普遍的に存在していなかった理由について質問に答えませんでした。
Tengaは2005年に設立された東京に本社を置く性的ウェルネス製品メーカーです。民間企業である同社は、世界中の事業所に約50~200人を雇用しており、アジア、ヨーロッパ、米国およびそれ以上の市場にサービスを提供しており、多くの小売店やオンラインチャネルで製品が利用可能です。
同社は世界中で1億ユニット以上を出荷し、近年は年間売上が約100億円(6600万~6700万ドル)に近づいており、海外市場からの収益はほぼ半分です。そのポートフォリオには、女性と性的健康教育に焦点を当てたブランドも含まれています。
