概要
国際的なオークションハウス大手サザビーズは、システムへのデータ侵害により顧客情報が流出したことを顧客に通知しています。この侵害により、金融詳細を含む機密情報が盗まれました。
侵害の詳細
このハッキングは7月24日に検出され、盗まれたデータの種類と影響を受けた個人を特定するために2ヶ月間の調査が行われました。メイン州司法長官事務所への提出書類によると、流出したデータには氏名、社会保障番号(SSN)、金融口座情報が含まれています。
サザビーズは影響を受けた個人に送付した書簡で、「2025年7月24日、サザビーズは、当社の環境から未知のアクターによって特定のサザビーズデータが削除された可能性があることを認識しました」と述べています。「当社は直ちに調査を開始し、どのような情報が関与し、誰に関連するのかを判断し検証するために、データの広範なレビューを含めました」と通知されています。
影響を受けた個人と背景
影響を受けた個人の総数は明らかにされていませんが、提出書類にはメイン州で2名、ロードアイランド州で2名が言及されています。BleepingComputerは、攻撃の範囲、米国および世界中の影響を受けた個人の数についてサザビーズに情報提供を求めましたが、出版時点までに回答は得られていません。
現時点では、ランサムウェアグループがサザビーズへの攻撃について責任を表明していません。過去には、ランサムウェアグループが多額の身代金を狙って他のオークションハウスを標的にしており、昨年はランサムウェアグループRansomHubがクリスティーズを侵害し、50万人の顧客の詳細を盗んだとされています。
過去のセキュリティインシデント
サザビーズは過去にもセキュリティインシデントを経験しています。特に、2017年3月から2018年10月の間にウェブサイトに悪意のあるコードが仕込まれ、顧客のカードデータや個人情報が盗まれたウェブスキマー事件がありました。同社は2021年にもサプライチェーン攻撃で同様の事件に見舞われています。
顧客への補償措置
今回データ侵害の通知を受け取ったサザビーズの顧客には、TransUnionを通じて12ヶ月間の無料の身元保護および信用監視サービスが提供されており、登録には90日間の猶予が与えられています。