2025年11月、スポーツウェア大手のアンダーアーマーがエベレストランサムウェアグループに攻撃されたとの報道が初めて流れた時、その話はうんざりするほど聞き覚えのあるものだった。大手ブランド、膨大なデータ、そして多くの未解決の疑問。それ以来、実際に何が起きたのかを巡る見解は二つの対立する説に分かれた。一方には慎重な企業声明、他方には大規模な顧客データセットが現在オンライン上で流通していることを強く示唆する証拠が積み上がっている。
公的な発表や法的文書では、継続中の調査、限定的な確認、そして「潜在的な」影響に関する慎重な表現が用いられている。 多くの顧客にとって、これは詳細がまだ明らかになっておらず、インシデントの深刻度が不明確であるという印象を与える。一方、米国で提起された集団訴訟は、データ保護における過失を主張し、2025年11月のランサムウェア攻撃時に顧客データ(従業員データも含む可能性あり)を含む機密情報の大規模な流出があったと指摘している。これらの訴訟は定義上、主張に過ぎないが、これが軽微なインシデントではないという見方に重みを加えている。
アンダーアーマーが「期限までに応答しなかった」とされる後、エベレストランサムウェアグループが侵害への関与を主張した。
サイバー犯罪者の視点から見れば、それは交渉が終了し、データが公開されたことを意味する。
エベレスト漏洩サイトはまた次のように述べている:
完全公開後、すべてのデータhacker データベースサイトに複製された。
このような投稿からも確認できるように、投稿者はデータセットに氏名、メールアドレス、電話番号、物理的な位置情報、性別、購入履歴、嗜好が含まれていると主張している。データセットには191,577,365件のレコードが含まれており、そのうち72,727,245件が固有のメールアドレスである。
では、アンダーアーマーの顧客はどのような立場に置かれるのか?企業の慎重な説明とサイバー犯罪者の強硬な主張は、どちらも完全に正確とは言えないが、現実のリスクを評価する上では同等の重みを持つわけではない。 ランサムウェア集団はアクセス権限について嘘をつくこともあるが、大規模な侵入経路を捏造し、サンプルデータを公開し、それをアンダーグラウンドフォーラムに拡散させるのは、被害ユーザーによって即座に反証されかねない虚偽の主張としては膨大な労力を要する。エベレストサイトの「データベース漏洩」ステータスと相まって、攻撃側の主張の細部が全て正確ではないにせよ、顧客データベースの大部分が現在流出している可能性が高いと推測される。
データ漏洩後の自己防衛
データ侵害の影響を受けたと考える場合、自身を守るために以下の手順を実行してください:
- 会社の指示を確認してください。各侵害事案は異なるため、会社に連絡して発生した内容を確認し、提供される具体的な指示に従ってください。
- パスワードを変更する。盗まれたパスワードは、変更することで窃盗犯に使えなくすることができます。他のことには使わない強力なパスワードを選びましょう。さらに良い方法は、パスワード・マネージャーにパスワードを選んでもらうことです。
- 二要素認証(2FA)を有効にしてください。可能であれば、第二要素としてFIDO2準拠のハードウェアキー、ノートパソコン、またはスマートフォンを使用してください。一部の2FA方式はパスワードと同様にフィッシング攻撃の標的となり得ますが、FIDO2デバイスに依存する2FAはフィッシング攻撃の対象になりません。
- なりすましに注意してください。詐欺師が侵害されたプラットフォームを装って連絡してくる可能性があります。被害者への連絡の有無は公式サイトで確認し、別の連絡手段で接触してきた人物の身元を必ず確認してください。
- 時間をかけましょう。フィッシング攻撃は、あなたが知っている人物やブランドになりすますことが多く、未配達、アカウントの停止、セキュリティ警告など、緊急の注意が必要なテーマが使われています。
- カード情報を保存しないことを検討してください。サイトにカード情報を記憶させる方が確かに便利ですが、小売業者が情報漏洩被害に遭った場合、リスクが高まります。
- 個人情報の不正取引をオンラインで検知した場合に通知し、事後の復旧を支援するアイデンティティ監視を設定してください。
脅威を報告するだけでなく、お客様のデジタルアイデンティティ全体を保護します
サイバーセキュリティリスクは見出し以上の広がりを決して許さない。本人確認保護サービスを活用し、あなたとご家族の個人情報を守りましょう。
