はじめに:パネラ・ブレッドのデータ侵害、影響規模が修正
データ侵害通知サービス「Have I Been Pwned」によると、米国の食品チェーン「パネラ・ブレッド」で発生したデータ侵害は、これまでの報告の「1,400万人の顧客」ではなく、実際には510万のアカウントに影響を与えたと発表されました。この報告は、恐喝グループ「ShinyHunters」が1月下旬にパネラ・ブレッドのユーザーアカウントから1,400万件以上の個人特定情報(PII)と連絡先情報を盗んだと主張した後に発表されたものです。
ShinyHuntersによる犯行声明と攻撃手法
ShinyHuntersは、身代金の支払いが拒否されたため、盗んだデータをダークウェブのリークサイトで公開しました。彼らは、Microsoft Entraシングルサインオン(SSO)のコードを介してパネラ・ブレッドのシステムにアクセスしたと「BleepingComputer」に語っています。この攻撃は、Okta、Microsoft、GoogleのSSOアカウントを標的とした新しいShinyHuntersのボイスフィッシング(vishing)キャンペーンの一部であり、100以上の有名組織が狙われました。
漏洩データの詳細とPanera Breadの対応
Have I Been Pwnedは、「2026年1月、パネラ・ブレッドは1,400万件の記録を露呈するデータ侵害に見舞われた」と報告しましたが、これは後に「510万のユニークなメールアドレス」に加え、関連する名前、電話番号、住所を含むアカウント情報が公開されたことを明らかにしました。BleepingComputerの集計によると、これらの盗まれた記録には約512万のユニークなユーザーアカウントの個人情報が含まれており、影響を受けた個人が複数のアカウントを使用している可能性があるため、顧客数はさらに少ない可能性があります。また、26,000件以上のpanerabread.comのユニークなメールアドレスが見つかっており、これはパネラ・ブレッドの従業員のPIIも盗まれたことを示唆しています。
パネラ・ブレッドはまだデータ侵害の通知や公式声明を発表していませんが、当局には通知済みであり、侵害を認めて「関与したデータは連絡先情報である」と述べています。
相次ぐShinyHuntersの攻撃と過去の事例
ShinyHuntersは、一連のvishing攻撃の一環として、オンラインデーティング大手の「Match Group」(Tinder、Match.com、Hinge、Meetic、OkCupidなどを所有)も侵害しました。Match Groupは、ShinyHuntersが内部文書とHinge、OkCupid、Matchのユーザー情報約1,000万件を含むとされる圧縮ファイルをリークした後、「限られた量のユーザーデータ」が盗まれたことを確認しました。
さらに、オーディオストリーミングプラットフォームの「SoundCloud」も12月にShinyHuntersの攻撃を受け、VPN経由で接続したユーザーが403「Forbidden」エラーに遭遇するという広範な報告がありました。Have I Been Pwnedが先週明らかにしたところによると、この攻撃は2,980万のアカウントに影響を与えました。
BleepingComputerは2025年12月の事件についてパネラ・ブレッドに問い合わせましたが、即座の回答は得られませんでした。パネラ・ブレッドは、2024年3月のランサムウェア攻撃によって全米規模のIT障害が発生し、脅威アクターによって従業員の個人情報が盗まれた後、2024年6月にも従業員にデータ侵害を通知しています。