概要
人気のアニメストリーミングサービスであるCrunchyrollが、深刻なデータ漏洩に見舞われた可能性があります。攻撃者は、ソニー所有の同社から100GB以上の個人情報(PII)を盗み出したと主張しています。
事件の経緯
このデータ漏洩は、3月12日、Crunchyrollのビジネスプロセスアウトソーシング(BPO)パートナーであるTelus社の従業員が誤ってマルウェアを実行したことで引き起こされたとされています。攻撃者は、この単一の感染から重要な初期足場を得て、Telusのワークステーション内に侵入し、その後、Crunchyrollの内部環境へと移動しました。
流出した情報
攻撃者によると、100GB以上のデータが直接Crunchyrollの顧客分析環境やチケットシステムから引き出されたとのことです。セキュリティアナリストは、サンプルデータを確認し、高度に機密性の高い顧客記録が含まれていることを確認しました。
- ユーザーIPアドレス
- アカウントメールアドレス
- 関連クレジットカード詳細情報
- 内部顧客分析データ
影響と懸念
この暴露されたデータは、攻撃者が標的型フィッシングキャンペーンを展開したり、財務詐欺や身分盗難を実行するための武器として容易に利用できる可能性があります。
対応と批判
Crunchyrollは、攻撃が発生した直後には不審なネットワーク活動を検出し、アクセス権限を取り消しました。しかし、同社はこの出来事について一切の公的声明を出しておらず、サイバーセキュリティコミュニティから強い批判を受けている状況です。
まとめ
この事件は、サプライチェーンリスクの深刻さとBPOプロバイダーに対する攻撃者の関心を改めて浮き彫りにしています。Crunchyrollが今後どのように対応するか注目されます。