310万件超、4ストアを横断した流出 #
ユニバーサルミュージック合同会社は、運営するECサイトへの不正アクセスにより、合計3,105,585件の顧客情報が流出したと公表した。対象はUNIVERSAL MUSIC STORE(旧・新サイト)、THE BEATLES STORE、UNIVERSAL MUSIC STORE ANNEX、オフィシャルアーティストストアと広範に及ぶ。流出情報は氏名・住所・電話番号・メールアドレスに加え、生年月日・性別、購入履歴(配送先・請求先)まで含む。クレジットカード番号の流出は現時点で言及されていないが、これだけの属性が揃えば、なりすましや精度の高いフィッシングの材料としては十分だ。
「SNS投稿で発覚」が示す監視の死角 #
注目すべきは発覚の経緯である。同社が異変に気づいたきっかけは、SNS上で顧客の個人情報流出を示唆する投稿が確認されたことで、社内調査の開始は2025年10月25日。内部のログ監視や侵入検知ではなく、外部からの指摘で初めて気づいた格好だ。これは情報漏洩インシデントで繰り返し見られる失敗パターンで、攻撃の検知から公表までの時間が長いほど、流出データは闇市場で拡散し被害が広がる。今回も調査開始から公表まで半年以上を要しており、その間に出回ったデータは取り戻せない。
ECサイトは攻撃者にとって「個人情報の宝庫」 #
同時期にはキャネットや資生堂美容室の委託先など、ECサイト・会員サイトへの不正アクセスが相次いで報じられている。会員データを抱えるECサイトは攻撃者にとって格好の標的であり、運営側にはWAFやログの常時監視、委託先を含めた管理画面のアクセス制御強化が欠かせない。利用者側も「流出は起こり得る」前提でサイトごとに異なるパスワードを使い、自分の属性情報を悪用した不審なメールを警戒する習慣が、現実的な防御線となる。
COMMENTS 0
No comments yet — be the first to leave one.