スペインのファストファッション小売業者である**Zara**のデータベースがハッカーによって侵害され、**Have I Been Pwned**によると19万7千人以上の顧客のデータが漏洩しました。 BershkaやPull&Bearといったブランドも所有する**Inditex Group**の主力ブランドである**Zara**は、世界中に1,500以上の店舗を展開しています。 ### 侵害の詳細 **Inditex**は先月、侵害されたデータベースが元ITプロバイダーによってホストされており、顧客とのビジネス関係に関する情報が含まれていたことを明らかにしました。同社は、氏名、電話番号、住所、認証情報、支払い情報はアクセスされていないと述べています。しかし、侵害の全容と影響を受けたプロバイダーの特定は、これまで明らかにされていませんでした。 「**Inditex**は直ちにセキュリティプロトコルを適用し、元テクノロジープロバイダーに影響を与えたセキュリティインシデントに起因する不正アクセスについて、関連当局への通知を開始しました。このインシデントは、国際的に事業を展開する複数の企業に影響を与えています」と**Inditex**は述べています。 ### ShinyHuntersが犯行声明 恐喝集団**ShinyHunters**は、侵害の犯行を主張し、侵害された**Anodot**認証トークンを使用した**BigQuery**インスタンスから窃取されたとされる140GBのアーカイブを公開しました。  **Have I Been Pwned**の分析によると、この侵害により197,400件のユニークなメールアドレス、地理的位置情報、購入履歴、サポートチケットが公開されました。「データには、197,000件のユニークなメールアドレスに加え、製品SKU、注文ID、サポートチケットの発信元市場が含まれていました」と**Have I Been Pwned**は述べています。 ### ShinyHuntersの手口 **ShinyHunters**は以前、BleepingComputerに対し、**Anodot**認証トークンを使用して多数の企業からデータを盗み出したと明かしていました。また、**Salesforce**インスタンスからデータを盗もうとした際に、AIベースの検知によって阻止されたとも述べています。 同グループは、従業員の**Microsoft Entra**、**Okta**、**Google** SSOアカウントを標的とした広範なvishingキャンペーンにも関連付けられており、企業SSOアカウントを侵害した後、接続されたSaaSアプリケーション（**Salesforce**、**SAP**、**Slack**、**Adobe**、**Atlassian**、**Zendesk**、**Dropbox**、**Microsoft 365**、**Google Workspace**など）からデータを盗んでいます。 ### 過去のShinyHuntersの標的 最近数ヶ月間に**ShinyHunters**が犯行を主張した他の侵害には、**Google**、**Cisco**、**PornHub**、**Match Group**、**Vimeo**、**Rockstar Games**、**ADT**、**欧州委員会**、**McGraw Hill**、**Medtronic**、Carnival、7-Eleven、Udemyなどがあります。 より最近では、**ShinyHunters**は教育テクノロジー大手**Instructure**を2度ハッキングしており、2度目はセキュリティ脆弱性を悪用して約330の大学の**Canvas**ログインポータルを改ざんし、身代金が支払われない場合は最初の**Instructure**侵害で盗まれたデータの漏洩を脅迫しました。 別のスペインのファッション小売業者である**MANGO**も10月に顧客にデータ侵害の通知を送り、マーケティングベンダーがハッキングされた後にマーケティングキャンペーンで使用された個人データが侵害されたと警告しました。しかし、**MANGO**のインシデントについては、ランサムウェアや恐喝グループが犯行を主張しておらず、攻撃者は不明のままです。