スタバ、従業員4万人分の情報漏えい新たに発覚 シフト作成ツール提供元へのサイバー攻撃巡り

スターバックス コーヒー ジャパンが、9月に発表した情報漏えいを巡り、従業員ID約4万700人分の漏えいを新たに確認したと発表した。漏えいした可能性のあるデータを精査したところ、追加の流出を確認したという。

[ITmedia]

スターバックス コーヒー ジャパンは10月3日、9月に発表した情報漏えいを巡り、従業員ID約4万700人分の漏えいを新たに確認したと発表した。漏えいした可能性のあるデータを精査したところ、追加の流出を確認したという。

　漏えいした従業員IDは直営店舗かライセンス店舗に務める正社員・アルバイトのもので、退職者のものも含む。従業員IDは社内の識別番号だが、同社は他の情報と組み合わせて悪用される恐れもあるとしている。従業員の氏名や生年月日、職位、住所、金融情報、マイナンバーなどは漏えいしておらず、顧客の情報も流出していない。

漏えいした情報の詳細

　スターバックス コーヒー ジャパンは9月、従業員のIDや氏名など約3万1500人分の漏えいを発表。原因は、パナソニック コネクト傘下で、サプライチェーンマネジメントソフトウェア大手の米Blue Yonderに対するサイバー攻撃だ。スターバックス コーヒー ジャパンはBlue Yonderのシフト作成ツール「Work Force Management」を利用しており、同ツールに保存していた情報の一部が漏えいした。

　漏えいの可能性が発覚したのは5月29日。Blue Yonderから「2024年12月にハッカー集団からのサイバー攻撃があり、スターバックスの従業員の個人情報が漏えいした可能性がある」と報告を受け明らかになった。その後、漏えいした可能性のあるデータとしてBlue Yonderから受け取った情報を調査したところ、漏えいの事実が判明した。

　追加の漏えいは、Blue Yonderから受け取った情報を、スターバックス コーヒー ジャパンが精査したことで発覚した。新たに数字の羅列を発見したため調べたところ、従業員IDであることが分かった。スターバックス コーヒー ジャパンは1日から順次、対象者への連絡を進めている。

　なお、Blue Yonderは24年11月にランサムウェア攻撃の被害を発表しており、これにより米Starbucksも業務に影響を受けていた。ただしスターバックス コーヒー ジャパンによれば「Blue Yonderからは『2024年12月ハッカー集団からのサイバー攻撃があり、スターバックスの従業員の個人情報が漏えいした可能性がある』と連絡を受けており、11月の件と別という理解をしている」という。