Petcoで顧客情報流出、重要データが露呈
ペット用品・サービス大手のPetcoは先週、顧客の個人情報に関するデータ漏洩が発生したことを認めたが、その詳細は不明でした。しかし、12月8日金曜日にテキサス州司法長官事務所に提出された法的に義務付けられた書類により、漏洩した情報の具体的な内容が明らかになりました。
報告によると、今回の漏洩で影響を受けたデータには、顧客の氏名、社会保障番号(SSN)、運転免許証番号、口座番号やクレジットカード/デビットカード番号といった金融情報、生年月日などが含まれています。これらの情報は、個人にとって極めて機密性が高く、悪用されれば深刻な被害につながる可能性があります。
漏洩の詳細と影響範囲
Petcoは、テキサス州以外にもカリフォルニア州、マサチューセッツ州、モンタナ州で同様の通知を提出しています。具体的な被害者数については、マサチューセッツ州で1名、モンタナ州で3名と報告されています。カリフォルニア州では、500名以上の住民に影響が出た場合に開示が義務付けられるため、それ以上の被害者が出ている可能性が高いです。しかし、Petcoは全体の被害者数を明らかにしておらず、2022年には2,400万人以上の顧客を抱えていたことを考えると、このデータ漏洩の影響は広範囲に及ぶ可能性があります。
TechCrunchがPetcoの広報担当者Ventura Olvera氏に、総被害者数やサイバー犯罪者がデータにアクセスしたか否か、問題が特定された時期、関与したアプリケーションなどの詳細について問い合わせましたが、回答は得られませんでした。
Petcoの対応と今後の対策
カリフォルニア州司法長官が公開したPetcoの顧客への通知書サンプルによると、今回の問題は「当社のソフトウェアアプリケーション内の設定不備により、特定のファイルが意図せずオンラインでアクセス可能な状態になっていた」と説明されています。Petcoは問題が発覚後、「直ちに対策を講じ、ファイルをオンラインアクセスから削除した」と述べています。さらに、問題の設定を「修正」し、具体的な内容は不明ながら「追加のセキュリティ対策」を実施したとのことです。
また、Petcoは、データ漏洩の被害者に対し、無料の信用監視サービスおよび個人情報盗難監視サービスを提供しています。このサービスは、特に運転免許証番号や社会保障番号が漏洩した場合にカリフォルニア州の法律で義務付けられており、マサチューセッツ州とモンタナ州の被害者にも提供されます。テキサス州の被害者への提供については言及がありません。
ITニュースとしての重要性
今回のPetcoのデータ漏洩は、企業のデータセキュリティ対策の重要性を改めて浮き彫りにしました。設定ミスという比較的単純な原因であっても、社会保障番号や金融情報といった極めて機密性の高い個人情報が大量に露呈するリスクがあります。企業は、アプリケーションの設定ミスやアクセス権限管理など、基本的なセキュリティプラクティスを徹底し、定期的な監査と脆弱性診断を行うことが不可欠です。また、インシデント発生時の透明性のある情報開示と、被害者への適切なサポートも、信頼を維持するために極めて重要となります。