はじめに
世界的に有名な大手オークションハウスであるSotheby’s(サザビーズ)は、システムへのサイバー攻撃により、従業員の機密情報が流出したことを発表しました。このデータ侵害は、同社のセキュリティ対策に再び疑問を投げかけるものとなっています。
事件の概要
Sotheby’sは、2025年7月24日にシステムからデータが不正に持ち出された可能性を認識しました。その後、2ヶ月間にわたる広範な調査を実施し、流出した情報の種類と影響を受けた個人を特定しました。当初の報道では顧客情報も含まれる可能性が示唆されていましたが、その後の更新で従業員の情報に限定されることが確認されました。
影響範囲と流出した情報
メイン州司法長官事務所への提出書類によると、流出したデータには氏名、社会保障番号(SSN)、および金融口座情報が含まれています。Sotheby’sは、影響を受けた個人の総数を公表していませんが、メイン州で2名、ロードアイランド州で2名の従業員が影響を受けたことが報告されています。BleepingComputerが詳細について問い合わせたものの、Sotheby’sからの回答は得られていません。
過去のセキュリティインシデント
オークション業界は、サイバー攻撃の標的となることが少なくありません。昨年には、RansomHubのハッカーがChristie’s(クリスティーズ)を侵害し、50万人もの顧客情報が流出したとされています。Sotheby’s自身も過去に複数のセキュリティインシデントを経験しています。
- 2017年3月から2018年10月にかけて、ウェブスキマーによって顧客のカード情報と個人情報が盗まれました。
- 2021年には、サプライチェーン攻撃により同様の事件が発生しています。
Sotheby’sの対応
Sotheby’sは、データ侵害の通知を受け取った影響を受けた従業員に対し、TransUnionを通じて12ヶ月間の無料の身元保護および信用監視サービスを提供しています。同社は、事件発覚後すぐに調査を開始し、データ保護および対応の専門家、ならびに法執行機関と協力していると述べています。
Sotheby’sの広報担当者は、以下の声明を発表しています。
「Sotheby’sは、特定の従業員情報が関与した可能性のあるサイバーセキュリティインシデントを発見しました。事件の発見後、当社は直ちに、主要なデータ保護および対応の専門家、ならびに法執行機関と協力して調査を開始しました。当社は、要件に従って影響を受けたすべての個人に適切に通知しています。当社は、会社および個人の情報のセキュリティを非常に真剣に受け止めており、システムとデータの保護に引き続き diligently 取り組んでいます。」
まとめ
今回のSotheby’sのデータ侵害は、企業が直面するサイバーセキュリティの脅威の深刻さを改めて浮き彫りにしました。特に、従業員の機密情報が狙われるケースが増加しており、企業はより一層のセキュリティ対策強化が求められます。