英国の小売大手Marks and Spencer(M&S)はサイバー攻撃を受けて顧客情報が漏えいした問題で、セキュリティ専門家は「対処が不十分」と指摘している。何がだめなのか。
2025年4月、英国の小売大手Marks and Spencer(以下、M&S)はサイバー攻撃を受けたことを公表し、Eコマース(EC:電子商取引)サイトとモバイルアプリケーションでの販売を一時停止した。この攻撃によって、同社顧客のさまざまなデータが流出したとみられる。M&Sは攻撃への対処を進めているものの、セキュリティ専門家は厳しい目を向けている。どのような問題があるのか。
M&Sによると、同社への攻撃で流出したデータには、顧客の名前や生年月日、郵便番号、メールアドレス、電話番号、オンライン購買履歴、支払い情報などが含まれる。一方で、ユーザーアカウントのパスワードは含まれていないという。M&SのCEOスチュワート・マシン氏は、「お客さまに一部の個人情報が盗まれたことをお知らせした」と説明する。マシン氏の話では、本稿執筆時点で、盗まれた情報がダークWeb(通常の手段ではアクセスできないWebサイト群)で共有された証拠はない。
今回の攻撃を受け、M&Sは同社顧客に対して「安全のため」にパスワードの更新を推奨している。「次回のログイン時にパスワードのリセットを促し、安全にオンラインで買い物する方法について情報を共有した」(同社)という。M&Sは2025年5月末時点で、オンラインおよび電話での注文受付を一時停止しており、実店舗での販売のみを通常通り実施している。
VPN(仮想プライベートネットワーク)サービスを手掛けるNordVPNのCTO(最高技術責任者)マリウス・ブリーディス氏は、攻撃者が盗まれたデータをまだ共有していないというM&Sの主張について「楽観的過ぎる」と批判する。「たとえユーザーアカウントのパスワードが流出していなくても、盗まれたデータはさまざまな用途に悪用される危険性がある」と同氏は述べる。
具体的な悪用例として、ブリーディス氏が挙げるのはフィッシングメールだ。「ダークWebで出回っている他の漏えい情報と組み合わせることで、アイデンティティー(ID)の盗難に使われる可能性がある」と同氏はみる。
セキュリティベンダーImmersive Labsバイスプレジデントのマックス・ベッター氏(ロンドン警視庁の元マネーロンダリング捜査官)も、M&Sの対処は不十分だと指摘。「パスワードの更新を推奨するだけでは、個人情報への不正アクセスを心配している人を安心させるには不十分だ」と語る。盗まれた情報のフィッシング攻撃への悪用を想定し、長期的な対策を講じる必要があるとベッター氏は強調する。
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
