# カーニバル・クルーズ・ライン、大規模なデータ侵害の被害を受ける クルーズ業界の大手である**カーニバル・コーポレーション**は、驚異的な5,995,277人の顧客に影響を与えるデータ侵害が発生したことを確認しました。同社の通知によると、2026年4月10日に発生したこの侵害は、ソーシャルエンジニアリング攻撃の成功が原因でした。 ## ソーシャルエンジニアリング攻撃によるデータ窃盗 **カーニバル**によると、従業員がソーシャルエンジニアリングによって騙され、同社ITシステムの一部への不正アクセスを許したとのことです。 「2026年4月14日、当社のITセキュリティチームは、従業員のアカウントに関連する不正なアクティビティを特定しました。不正なアクターがソーシャルエンジニアリングを使用して従業員を欺き、当社のITシステムのごく一部へのアクセス権を取得しました」と、**カーニバル**はデータ侵害通知書で述べています。同社は、インシデントを封じ込めるために迅速に行動し、調査とセキュリティ体制の強化のために第三者のセキュリティ専門家を起用したと主張しています。 ## ShinyHuntersが責任を主張 **カーニバル**は公式に攻撃者を特定していませんが、悪名高いサイバー犯罪グループ**ShinyHunters**が責任を主張しています。同グループは、個人識別情報（PII）を含む870万件以上のレコードと、テラバイト級の社内企業データを盗んだと主張しています。  ## 流出したデータの詳細 **Have I Been Pwned**は流出したデータを分析し、氏名、生年月日、メールアドレス、性別、地理的位置、およびロイヤルティプログラムの詳細が含まれていることを確認しました。このデータは、**カーニバル**の子会社である**Holland America**が運営するMariner Societyロイヤルティプログラムに関連しているようです。 ## ShinyHuntersの最近の活動 **ShinyHunters**は、特に**Salesforce**の顧客を標的として、ますます活発になっています。同グループは、**Salesloft Drift**キャンペーンや**Salesforce Aura**データ窃盗攻撃など、大規模なデータ窃盗の責任を主張しています。 ## FBIからのアドバイス **FBI**は、**ShinyHunters**の被害者に対し、身代金要求に応じないようアドバイスしており、支払っても盗まれたデータの返還や将来の恐喝行為の防止が保証されるわけではないと強調しています。 ## カーニバルの過去の侵害履歴 **カーニバル・コーポレーション**が標的となったのは今回が初めてではありません。同社は、2020年3月と2021年6月に過去のデータ侵害を公表しており、個人情報および財務情報が流出しました。2020年8月と12月には、ランサムウェア攻撃により顧客および従業員データが盗まれる事態も発生しています。