高級ファッションブランドのグッチ、アレキサンダー・マックイーン、バレンシアガが顧客データの漏洩被害を受けました。これはShinyHuntersグループに関連する攻撃の一つです。
漏洩したデータには、個々の顧客が各ブランドでどれだけの金額を消費したかといった詳細が含まれていると報じられています。ShinyHuntersは、740万件のユニークなメールアドレスに関するデータを入手したと主張しています。
これは、ShinyHuntersが流出させたと主張するファイルのサンプルがBBCに共有されたことによるものです。
このサンプルには、数千件の顧客情報が含まれており、「本物であるように見える」とされています。
ShinyHuntersはBBCに対し、4月にKeringを通じてこれらの高級ブランドに侵入し、6月に身代金交渉のため同社に連絡したと語りました。
このサイバー攻撃は、3ブランドすべての親会社であるフランス拠点の持株会社Keringによって確認されました。
KeringはBBCへの声明で、事件は6月に発生し、第三者が一時的に同社のシステムへ不正アクセスし、ブランドの限定的な顧客データにアクセスしたことを明らかにしました。
「銀行口座番号やクレジットカード情報、政府発行の身分証明番号などの金融情報は、今回の事件には含まれていません」と同社は付け加えました。
Keringは、加害者との間でいかなるやり取りも行っていないとBBCの報道は伝えています。
顧客は二次被害のリスクに直面
この事件について、Recorded FutureのInsikt Groupリスクインサイト部門ディレクター、ジョセフ・ルーク氏は、グッチ、バレンシアガ、アレキサンダー・マックイーンが被害を受けた今回の漏洩は、高級ブランドがサイバー犯罪の標的となりやすいリスクを浮き彫りにしているとコメントしました。
「攻撃者がこれらの企業を狙うのは、ブランドの世界的な知名度だけでなく、顧客層に高額所得者が多く、個人情報が特に価値を持つためです」と同氏は指摘しています。
ルーク氏はまた、顧客の消費データが流出することで、特にダークウェブで他の犯罪者に情報が販売された場合、二次的な詐欺被害のリスクが高まる可能性があると警告しました。
Keringへの攻撃は、ここ数か月でディオール(Dior)、アディダス(Adidas)、ルイ・ヴィトン(Louis Vuitton)、カルティエ、シャネル、パンドラ、ヴィクトリアズ・シークレットなど、著名なファッションブランドが被害を受けた一連の事件に続くものです。
これらの事件は、ShinyHuntersハッキンググループに関連しており、同グループはvishing(音声フィッシング)手法を使ってSalesforceの顧客インスタンスを侵害したと報じられています。
トレンドマイクロの脅威リサーチャーは、Keringに対する今回の攻撃は、6月にGoogleが企業向けSalesforceインスタンスが標的になったと初めて公表する以前に発生したようだと指摘しました。
「Keringの漏洩が今になって発表されたという事実は、背後にいるグループによって、まだ他の被害者のデータが処理されている可能性を示唆しています」と警告しています。
InfosecurityはKeringにコメントを求めていますが、執筆時点では回答を得られていません。
画像クレジット: Zigres / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/gucci-mcqueen-customer-breach/