アパレル小売企業を“計画的に”狙うサイバー攻撃者たち：Cybersecurity Dive

Victoria’s SecretやThe North Faceをはじめとしたアパレル小売企業を狙うサイバーが多発している。専門家によると、これらの攻撃は計画的な犯行である可能性が浮上しているという。

[David Jones，Cybersecurity Dive]

　アパレル事業を展開するVictoria’s Secretは2025年6月3日（現地時間、以下同）、以前公表されたサイバー攻撃の影響で従業員が必要なシステムにアクセスできず、情報の作成が困難なため、2025年度の第1四半期の決算報告を延期すると発表した（注1）。

アパレル小売企業を計画的に狙うサイバー攻撃者

　Victoria’s Secretは2025年5月24日にデータ侵害が発生したと発表し、それに伴い企業のシステムとWebサイトを一時的に停止した（注2）。同社は攻撃の調査に関する支援を受けるためにサードパーティーのフォレンジック専門家を雇った。

　米国証券取引委員会（SEC）に提出した書類の中でVictoria’s Secretが述べたところによると、2025年5月29日にWebサイトへのアクセスは復旧したが、企業システムの復旧作業はまだ続いているようだ。また、この度のハッキングはVictoria’s SecretおよびPINKの店舗の一部機能にも影響を及ぼしたが、大半の業務は再開されている。

　Victoria’s Secretは「2025年5月3日に終了した当社の第1四半期にハッキングは影響を及ぼさなかった」と述べた。第1四半期の業績は、同社の財務見通しの上限に近いか、それを上回る結果となった。

　Victoria’s Secretは監査委員会の支援を受けながら、今回の侵害の影響を引き続き評価している。

　Victoria’s Secretは「今回の侵害は重大な業務停止につながっていないものの、今後の財務に悪影響を及ぼす可能性のある費用が既に発生しており、同様の費用が引き続き発生するだろう」と述べている。これには2025年度の第2四半期も含まれるようだ。

　今回のハッキングの深刻さは「Scattered Spider」として知られるサイバー犯罪集団による脅威に関してさらなる疑問を投げかけている。セキュリティ研究者たちは、Harrod’sやthe Marks＆Spencer、Co-opなどの英国の小売業者に対する一連の攻撃の背後に本グループがいると考えている（注3）。M＆Sはこの度のハッキングによる損失が4億ドルを超えると発表した。

　最近、調査企業であるMandiantの研究者は、同じ攻撃者が米国の複数の小売業者を標的にしていると警告した（注4）。Mandiantは攻撃と攻撃者を公式に結び付けてはいないが、Scattered Spiderが犯人である可能性が高いと考えている。2025年5月初旬には、このグループによる侵入を防ぐためのガイダンスを公開した。Scattered Spiderは、ソーシャルエンジニアリング手法を巧みに使ってアクセスを得る高度な技術を持つことで知られている。

　Mandiantは2025年5月に、同年4月に連続して実行されたハッキングによって米国の複数の小売業者が侵害されたことを確認したが、研究者たちは被害を受けた組織を明らかにしなかった。

　これらの攻撃が2025年4月に始まって以来、一連の事件が著名な小売業者やファッションブランドを標的にしている。Cartierは2025年6月3日に、不正な第三者がシステムに一時的にアクセスし、顧客データの一部を盗んだと公表した。

　サイバーセキュリティ事業を営むArctic WolfのCISO（最高情報セキュリティ責任者）であるアダム・マレ氏は、次のように述べた。

　「この傾向が特に深刻な理由は、その規模と組織的な動きにある。被害は特定の地域に限られておらず、単発の事件でもない。むしろ小売業界を標的にした、計画的な攻撃のパターンが見られる」

　House of Diorは2025年5月中旬に、『Cybersecurity Dive』に対して電子メールで、顧客記録の盗難につながる侵害を調査中であることを認めた。同社は「盗難の対象に金融情報は含まれていない」と述べつつも、引き続き顧客に通知しているようだ。また、Adidasも2025年5月23日に、サードパーティーのカスタマーサービスプロバイダーに対するハッキングとその侵害について確認している（注5）。同社はプロバイダーの名称を明かさなかった。

　The North Faceは、親会社のVF Corpを通じてバーモント州の司法長官に対し、攻撃があったことを報告した（注6）。これは比較的小規模なクレデンシャル・スタッフィング（流出したIDやパスワードを使った不正ログイン）による被害で、2025年4月に発生しており、米国の大手小売業者が次々と攻撃を受けるようになった一連の事件より前のことだった。

（注1）Victoria's Secret & Co.（SEC）
（注2）Victoria’s Secret shuts down website in response to security incident（Cybersecurity Dive）
（注3）UK authorities warn of retail-sector risks following cyberattack spree（Cybersecurity Dive）
（注4）Researchers warn threat actors in UK retail attacks are targeting US sector（Cybersecurity Dive）
（注5）Data Security Information（adidas）
（注6）Important notice about your account on thenorthface.com and your personal information（Vermont Attorney General's Office）

原文へのリンク