カーニバル、約600万人に影響する情報漏洩を確認 |Malwarebytes

カーニバル・クルーズ・ラインの親会社であるカーニバル・コーポレーションは、2026年5月27日付の新たな「サイバーセキュリティ事案に関する通知」を送付している。この文章をどこかで読んだような気がするなら、それは気のせいではない。過去10年間、世界最大のクルーズ運航会社である同社は、情報漏洩、ランサムウェア被害、規制当局による罰金など、懸念すべき実績を積み重ねてきましたが、この2026年のインシデントは、すでに長いサイバーセキュリティの歴史に新たな1ページを加えるものとなりました。

当社のデータベースには、カーニバル・コーポレーションまたはその子会社に関連するデータ漏洩事例が複数登録されています。

2019年から2021年の間にだけでも、カーニバル社はニューヨーク州金融サービス局に対し、4件のサイバーセキュリティ事案を報告した。これには、2件のランサムウェア攻撃と、攻撃者がマルウェアを仕掛け、社内システムにアクセスして暗号化し、顧客および従業員の個人情報を盗み出したフィッシング事件が含まれていた。

今回の事件では、2026年4月14日、攻撃者がソーシャルエンジニアリングの手法を用いてカーニバル社の従業員を騙し、同社のITシステムの一部へのアクセス権限を取得しました。4月22日までに、攻撃者は乗っ取ったアカウントを利用してカーニバル社のITシステムの「一部」にアクセスし、アクセスを遮断される前に個人データをコピーすることに成功しました。

メイン州に提出されたデータ漏洩通知によると、影響を受けたのは計5,995,277人に上る。カーニバル社は、侵入者が個人情報を含むファイルを不正にコピーしたと判断し、現在、影響を受けた個人に対し、自身に関連する「データ要素」が取得された旨を通知している。

Gblockが引用した研究者によると、盗まれたデータには以下のものが含まれているようだ：

フルネーム
メールアドレス
生年月日
性別
マリナー・ソサエティの会員ステータスとランク
内部顧客識別子

この定型文には具体的なデータフィールドは記載されていません。その代わりに、プレースホルダーが使用されています：

“We have determined that your <<data elements>> were obtained.”

これは、カーニバル社が各手紙に、その個人に関連するデータカテゴリを記載していることを強く示唆している。これは、人々が時期によって異なる情報を提供している可能性がある大規模な情報漏洩事件において、よく見られるパターンである。

さらに、これらの通知文には、同社が迅速に対応したこと、第三者の専門家を関与させたことといった、お決まりの内容が記されており、影響を受けたシステムは環境全体の一部に過ぎないと説明されています。しかし、受信者にとって重要なのは、同社の見地から見て侵害の範囲がどれほど限定的であったかではなく、流出した情報がなりすまし、詐欺、あるいは極めて巧妙なフィッシング攻撃に悪用される可能性があるかどうかという点です。

情報漏洩は毎日起こっています。最後になってから知るようなことのないようにしましょう。

プランを見る

過去のカーニバル社における情報漏洩事件から、流出したデータには氏名、住所、生年月日、パスポート番号、健康情報、および支払い情報が含まれていたことが分かっています。クルーズ船会社を対象とした過去の情報漏洩事件では、流出したデータは基本的な連絡先情報から社会保障番号やクレジットカード情報まで多岐にわたっていました。カーニバル社は2026年の事件で流出したデータの全カテゴリーを公表していませんが、今回の事件でも内部システムから「個人情報」がコピーされたことを踏まえると、個人ごとに流出したデータの組み合わせは異なるとしても、これを深刻なプライバシー侵害事件として扱うのが妥当でしょう。

この攻撃は、データを盗み出して身代金を要求することで知られる恐喝グループ「ShinyHunters」が犯行声明を出した。被害者が要求に応じない場合、データは公開されるか、あるいは最高額で入札した者に売却される。

サイバー犯罪者の視点から見ると、クルーズ業界のデータは非常に価値が高い。クルーズ客は比較的裕福な層が多い上、乗客記録には個人情報（氏名、住所、生年月日、パスポート番号）、連絡先情報（メールアドレス、電話番号）、さらには決済情報（カード番号や場合によっては銀行口座情報）が含まれていることがあり、これらはなりすまし、標的型フィッシング、および詐欺の標的として極めて有用である。