データ侵害の概要
トイザらス・カナダは、顧客情報が流出したデータ侵害について顧客に通知しました。このセキュリティインシデントは、以前に同社のシステムから盗まれた顧客記録が脅威アクターによって漏洩されたものです。
同社は、2025年7月30日に脅威アクターがダークウェブにトイザらスの顧客データと主張するものを投稿したことで、このデータ漏洩を認識しました。その後、第三者の専門家の協力を得て行われた調査により、その情報が本物であることが確認されました。
顧客に送られた書簡には、「2025年7月30日、当社は、インデックス化されていないインターネット上の投稿を通じて、第三者が当社のデータベースから情報を盗んだと主張していることを認識しました」と記されています。「当社は直ちに第三者のサイバーセキュリティ専門家を雇い、封じ込めとインシデントの調査を支援してもらいました。」
「調査の結果、不正な第三者が当社の顧客データベースから特定の記録をコピーしたことが判明しました。これには個人情報が含まれています。」
流出した情報の詳細
流出したデータの種類は個人によって異なり、以下のいずれかまたは複数が含まれている可能性があります。
- 氏名
- 住所
- メールアドレス
- 電話番号
トイザらス・カナダは、アカウントのパスワード、クレジットカード情報、その他の「同様の機密データ」は流出していないことを強調しています。
企業側の対応と顧客への助言
データ侵害の発見後、同社はサイバーセキュリティ専門家の指導のもと、ITシステムのセキュリティを強化しました。また、カナダの該当するプライバシー規制当局にデータ侵害を通知する手続きを進めていると述べています。
通知を受け取った顧客は、不審な連絡を無視し、トイザらスを装って個人情報を要求するフィッシングメッセージに警戒するよう助言されています。
今後の展望
BleepingComputerは、データを漏洩させた脅威アクター、このインシデントによって影響を受けた顧客数、および身代金が要求されたかどうかについて、同社に詳細を問い合わせましたが、本稿執筆時点では回答は得られていません。