コンビニエンスストア大手の「7-Eleven」は4月にデータ侵害に見舞われ、18万3千人以上の個人情報が侵害されたと「Have I Been Pwned」が報じている。この侵害は、恐喝グループ「ShinyHunters」によるものとされている。 1927年に設立された「7-Eleven」は、世界中に8万6千店舗以上を展開し、そのうち1万3千店舗が米国とカナダにある。また、「Speedway」、「Stripes」、「Laredo Taco Company」、「Raise the Roost Chicken and Biscuits」の店舗も運営・フランチャイズ展開しており、7RewardsおよびSpeedy Rewardsのロイヤルティプログラムには1億人以上の会員がいる。 ### 侵害の詳細 「7-Eleven」は5月1日に影響を受けた顧客に送付した通知書でデータ侵害を公表し、4月上旬に一部システムへの不正アクセスがあったことを明らかにした。 同社は、「最近、2026年4月8日に、フランチャイジーの書類を保管するために使用されている一部の『7-Eleven』システムに、不正な第三者がアクセスしたことを発見しました。」と述べている。 「7-Eleven」は公式にはこの攻撃を「ShinyHunters」によるものと断定していないが、同グループは4月17日に責任を主張した。 サイバー犯罪者は、「7-Eleven」のSalesforce環境を侵害した後、企業データと個人を特定できる情報を含む60万件以上のレコードを盗んだと主張している。同社が身代金の支払いを拒否した後、9.4GBの書類アーカイブがダークウェブのリークサイトに公開された。  *ShinyHuntersのリークサイトにおける7-Elevenのエントリー (BleepingComputer)* ### 流出したデータ 「Have I Been Pwned」が流出したデータを分析した結果、この侵害により18万5300人分の氏名、生年月日、ユニークなメールアドレス、電話番号、住所などのデータが流出したことが確認された。 「このインシデントにより、18万5千件のユニークなメールアドレスが流出し、氏名、住所、生年月日、電話番号も含まれていました。少数のレコードには、追加の流出データフィールドも含まれていました。」と同サイトは述べている。「同社は後に、この侵害は『フランチャイジーの書類を保管するために使用されている一部の『7-Eleven』システム』に限定されていたとアドバイスしており、これは流出したデータとも一致する。」 ### 過去の攻撃 「7-Eleven」デンマークも、2022年8月にランサムウェア攻撃の被害に遭ったことを確認しており、攻撃者によって一部システムが暗号化され、175店舗の閉鎖を余儀なくされた。 ### ShinyHuntersの最近の活動 「ShinyHunters」はSalesforceの顧客を積極的に標的にしており、「Salesforce Aura」のデータ窃盗攻撃や「Salesloft Drift」キャンペーンで数十億件のレコードを盗んだと主張している。最近「ShinyHunters」が責任を主張した侵害には、「欧州委員会」、動画サービス「Vimeo」、スペインのファストファッション小売業者「Zara」と「MANGO」、EdTech大手「McGraw-Hill」、ホームセキュリティ大手「ADT」、医療機器メーカー「Medtronic」、「PornHub」、「Rockstar Games」、オンラインデーティング大手「Match Group」、そしてテクノロジー大手「Cisco」や「Google」が含まれる。 2週間前、FBIは「ShinyHunters」の被害者に対し、攻撃者の要求に応じないよう勧告し、身代金を支払っても盗まれたデータの返還や削除が保証されるわけではないことを改めて強調した。 <a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">The Validation Gap: Automated Pentesting Answers One Question. You Need Six.</a></h2> <p>Automated pentesting tools deliver real value, but they were built to answer one question: can an attacker move through the network? They were not built to test whether your controls block threats, your detection rules fire, or your cloud configs hold.</p> <p>This guide covers the 6 surfaces you actually need to validate.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Download Now</a></p> </div>