イギリスの小売大手ハロッズは、ハッカーがサードパーティのサプライヤーを侵害し、43万件の機密性の高いEコマース顧客情報を盗んだことを受け、新たなサイバーセキュリティインシデントを公表しました。
高級百貨店であるハロッズはBleepingComputerへの声明で、今回のインシデントは5月のサイバー攻撃(Scattered Spiderによるものとされる)とは無関係であると述べています。
ハロッズはロンドンに本拠を置く高級品百貨店です。国際的な顧客向けにフル機能のEコマースプラットフォームを運営しています。
今回のデータ漏洩は、ハロッズが被害を受けた顧客に通知した後、イギリスのメディアによって最初に報じられました。
ハロッズはBleepingComputerに対し、「金曜日に影響を受けたEコマース顧客に積極的に通知した」と述べており、第三者プロバイダーの侵害により顧客の氏名や連絡先情報が漏洩したことを明らかにしました。なお、侵害された企業名は公表されていません。
氏名や連絡先情報のほか、一部の顧客記録にはハロッズがマーケティングやその他のサービス提供のために内部で使用しているタグやラベルも含まれていました。
「影響を受けた顧客記録には、ハロッズが提供するマーケティングやサービスに関連するラベルも含まれている可能性があります」と高級品企業は述べています。
「これらのラベルには、ティアレベルやハロッズのコブランドカードへの所属などが含まれる場合がありますが、この情報が権限のない第三者によって正確に解釈される可能性は低いと考えられます。」
コブランドカードとは、ハロッズのロゴとカードネットワーク(アメリカン・エキスプレス、VISA)および金融機関(QNB、NBK)のロゴが入った、同社のロイヤルティプログラムのクレジットカードです。
これらのカードはポイント獲得に利用でき、食事クレジットや特別イベントへの招待など様々な特典が付与されます。
データ漏洩があったものの、ハロッズは流出したデータにアカウントのパスワード、支払い情報、注文履歴は含まれておらず、基本的な個人識別情報に限定されていると強調しています。
また、同社は脅威アクターから直接連絡を受けたことも明らかにし、おそらく恐喝を目的としたものとみられますが、コミュニケーションには応じないと述べています。
歴史ある同店は、被害を受けた顧客への通知とサポートを継続しており、関係当局にも適切に通報し、密接に連携しています。
ハロッズのオンラインショップの顧客は、フィッシング攻撃やソーシャルエンジニアリングに警戒し、不審なメールやSMSに記載されたリンクはクリックしないよう注意してください。
