アディダスは、デジタル窃盗犯がドイツのスポーツウェア大手から情報と技術データを盗んだと主張した後、パートナー企業の1つで第三者による流出事件の調査を行っていることを確認しました。
「武道製品の独立系ライセンスパートナーおよび流通業者の1社で、潜在的なデータ保護インシデントについて認識させられました」とアディダスのスポークスマンはThe Registerに語りました。「これは独自のIT システムを持つ独立した企業です。」
アディダスは、侵害がいつ発生したか、または侵入中に犯人が何の情報を盗んだかについての質問に答えることを拒否しました。スポークスマンは、「アディダスのIT インフラストラクチャ、当社独自の電子商取引プラットフォーム、または当社の消費者データのいずれがこのインシデントの影響を受けたという兆候はない」と追加しました。
アディダスでのインシデントの主張は2月16日に浮上しました。Lapsus$ グループを装う誰かが BreachForums に投稿し(スクリーンショットは Daily Dark Web のこちらで共有)、スポーツウェア大手のエクストラネットをハッキングしたと述べました。犯人によると、盗まれたファイル(815,000行の情報)には、名前、メールアドレス、パスワード、生年月日、企業名、および「多くの技術データ」が含まれているとのことです。
この最新の流出は、2025年5月にスポーツウェア大手企業に影響を与えた同様の第三者によるセキュリティインシデントに続いています。当時報告したように、アディダスは顧客に対し、「許可されていない」人物が「第三者カスタマーサービスプロバイダー」からデータを盗んだ後、一部のデータが盗まれたことを通知しました。
Lapsus$ は、2021~2022年の犯罪スプリー中に悪名高さを獲得した十代と若い人々の混沌とした集団です。このギャングは、電気通信大手BT、Nvidia、Microsoft、Samsung、Vodafone、フィンテック企業Revolut、およびOktaに侵入し、電話ベースのソーシャルエンジニアリング、SIM スワッピング、ターゲット組織の従業員に認証情報と多要素認証(MFA)コードへのアクセスを支払うことの組み合わせを使用して恐喝を試みました。
2022年3月、英国警察は、Lapsus$ 活動での疑いの役割について、16~21歳の7人を逮捕してから釈放しました。警察は、その月の後半、サイバー犯罪ギャングとの関与について、2人の十代の少年を再逮捕して起訴しました。
より最近では、2025年8月初旬、クルーのメンバーたちは Scattered Spider と ShinyHunters を含むサイバー犯罪共同体に参加し、Scattered Lapsus$ Hunters という名前で営業しています。2か月後の2025年10月、恐喝共同体はアディダスをそのリークサイトにリストアップし、2024年2月に2,000万以上の機密記録を盗んだと主張しました。®
