Grubhubがデータ流出を確認
食品配送プラットフォームのGrubhubは、最近発生したセキュリティ侵害により、一部のシステムからデータが流出したことを公式に認めました。同社はBleepingComputerに対し、「不正な個人が最近Grubhubの特定のシステムからデータをダウンロードしたことを認識している」と述べました。迅速な調査により活動は阻止され、Grubhubはセキュリティ体制をさらに強化する措置を講じていると報告しています。
同社の発表によると、金融情報や注文履歴などの機密性の高い情報への影響はなかったとされています。Grubhubは、サードパーティのサイバーセキュリティ企業と協力し、法執行機関にも通報したことを確認しています。
ハッカー集団ShinyHuntersによる恐喝
BleepingComputerの情報筋によると、今回のデータ流出事件の背後には悪名高いハッカー集団「ShinyHunters」がおり、Grubhubを恐喝しているとのことです。ShinyHuntersは、身代金としてビットコインを要求しており、支払いがなければ以下の情報の公開を示唆していると伝えられています:
- 2025年2月に発生した以前の侵害からのSalesforceデータ
- 最近の侵害で盗まれた新しいZendeskデータ
Grubhubは、オンラインサポートチャットシステムにZendeskを使用しており、注文、アカウント問題、請求に関するサポートを提供しています。
過去の関連事件と攻撃経路
今回の侵害がいつ発生したかは不明ですが、情報筋は、最近のSalesloft Driftデータ盗難攻撃で盗まれたシークレット/認証情報を通じて行われた可能性を指摘しています。2025年8月には、SalesloftのSalesforce統合のために盗まれたOAuthトークンが悪用され、データ窃盗キャンペーンが実施されました。
Googleの脅威インテリジェンスチーム(Mandiant)の報告によると、「UNC6395」(ShinyHuntersであると考えられている)が、Amazon Web Services(AWS)のアクセスキー(AKIA)、パスワード、Snowflake関連のアクセストークンなどの機密認証情報を標的としていたことが観測されています。ShinyHuntersは、Salesloft侵害において、760社のSalesforceオブジェクトテーブルから約15億件のデータ記録を盗んだと主張しています。
企業への警告と対策
以前に盗まれたSalesforceデータが悪用され、追跡攻撃が継続的に行われていることを踏まえ、Salesloft Drift侵害の影響を受けた組織は、影響を受けたすべてのアクセストークンとシークレットを可能な限り速やかにローテーション(更新)することが強く推奨されます。これは、今回のGrubhubの事例だけでなく、同様の被害を防ぐための重要なセキュリティ対策となります。