アメリカのメイン州司法長官事務所のウェブサイトに掲載された情報によると、株式会社セブン-イレブン・ジャパン(東京都千代田区)の100%子会社で、アメリカでセブンイレブンを運営する7-Eleven,Inc.(本社・テキサス州ダラス)がデータ漏えいを通知したようです。ShinyHuntersがリークサイトで犯行を主張していました。
州法の通知義務により公表される
米メイン州のデータ漏えい通知法は、同州住民の個人データが1人でも侵害された場合、州の規制当局もしくは州司法長官に通知する義務があるということです。ShinyHuntersは4月22日に7-Eleven,Inc.から60万件以上のSalesforceレコードを含む12.8GBのデータを窃取したことを主張していましたが、7-Eleven,Inc.による発表はなく真偽は不明でした。しかし、米メイン州の州法にもとづき7-Eleven,Inc.が同州の司法長官にデータ漏えいを通知したことで侵害の事実が明らかになりました。同様の通知はマサチューセッツ州の司法長官にも提出されているようです。
公開された情報によると、4月8日にフランチャイズ加盟店関連書類を保管するシステムに権限のない第三者が不正アクセスしたということです。調査の結果、漏えいした書類データにはフランチャイズ加盟申請時に提供された個人情報が含まれていたということです。7-Eleven,Inc.は大手フォレンジック企業の協力を得て事態の評価と改善に向けた調査に乗り出すとともに、データが漏えいした被害者に対して個人情報盗難防止サービスとサイバースキャン監視サービスを無料で提供するとしています。
また、7-Eleven,Inc.は個人情報の不正利用を監視するために、被害者に定期的な口座明細書の確認を求めるとともに、連邦法にもとづき消費者信用情報機関から無料の信用情報レポートを受け取る権利があるとしています。データが流出したのは店舗利用者の個人情報ではなく、フランチャイズの契約者データのようです。
4月8日にデータを窃取して恐喝
ShinyHuntersは、4月8日に不正アクセスをしてSalesforceレコードを含むデータを窃取、その後、7-Eleven,Inc.に対して4月21日を期限に金銭の支払いを求め、7-Eleven,Inc.が要求に応じなかったことから4月22日にリークサイトに7-Eleven,Inc.を公開したものとみられます。4月22日には7-Eleven,Inc.の他にもMytheresaやZara、Carnival Corporation & plcがリークサイトに掲載されたということです。MytheresaはドイツのラグジュアリーECサイト、Zaraはスペインのアパレルメーカー、Carnival Corporation & plcは世界最大級のクルーズ客船の運航会社です。
報道によればShinyHuntersは400社からデータを盗んだと主張しており、今春のSaaSキャンペーンでは100社以上の企業からデータが窃取されたとみられています。その手口はSalesForceやOkta、Microsoftなど主要なクラウドサービスやSaaS環境を標的に、音声フィッシングで従業員を騙して多要素認証(MFA)コードやシングルサインオン(SSO)の情報を盗み出し、クラウドのSaaSアプリケーションにアクセスして大量のデータを盗むというものです。7-Eleven,Inc.に対する侵害でもSalesforceのデータが窃取されているとみられることから、同様の手口で侵入したものとみられます。音声フィッシングなどにはAIが使われているとみられており、古典的なソーシャルエンジニアリングの手法とAIを組み合わせて初期アクセスを図り、大量にデータがある領域を狙うことで、効率の高いデータ窃取に成功している実態があるようです。
【出典】