英ハロッズで43万件の顧客情報漏洩！第三者プロバイダ経由のサプライチェーン攻撃の脅威と対策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

2025年9月、世界的に有名な英国の高級百貨店ハロッズが、約43万件もの顧客情報漏洩インシデントを公表しました。今回の事案は、ハロッズ自社のシステムではなく、第三者プロバイダのシステムへの不正アクセスが原因という、いわゆる「サプライチェーン攻撃」の典型例です。

現役CSIRTメンバーとして多数のインシデント対応に携わってきた経験から言えば、このような第三者経由の攻撃は企業にとって最も対策が困難な脅威の一つです。なぜなら、自社がどれだけセキュリティ対策を講じても、委託先や連携先の脆弱性が攻撃の入り口となってしまうからです。

ハロッズ情報漏洩事件の詳細
1. 漏洩した情報の内容
2. 攻撃の手口：サプライチェーン攻撃
なぜサプライチェーン攻撃が増加しているのか
実際のフォレンジック事例から見る被害パターン
1. 事例1：マーケティングツール経由の攻撃
2. 事例2：決済代行業者経由の攻撃
企業が今すぐ実施すべき対策
個人ユーザーができる対策
1. 基本的なセキュリティ対策
2. 情報漏洩時の対応
企業のWebサイトセキュリティ強化
まとめ：サプライチェーン攻撃への備えが急務
一次情報または関連リンク

ハロッズ情報漏洩事件の詳細

漏洩した情報の内容

今回漏洩したのは最大約43万件の顧客レコードで、主にオンライン利用者の一部が対象となりました。幸いにも、被害の規模は以下のように限定的でした：

漏洩した可能性がある情報：

氏名
連絡先情報（提供がある場合）
社内マーケティング関連ラベル
ロイヤルティ・提携カードの種別ラベル

漏洩していない情報：

アカウントパスワード
支払カード情報
注文履歴

ハロッズは店舗来店中心の顧客が多いため、全顧客のうち一部に限定された可能性が高いとしています。しかし、43万件という数字は決して小さくありません。

攻撃の手口：サプライチェーン攻撃

今回の攻撃で特に注目すべきは、侵入経路が「サプライヤー側（第三者プロバイダ）のシステム」だったという点です。ハロッズは影響を受けたのは外部提供システムであり、自社のコアシステムは別件であることを強調しています。

フォレンジック分析の現場では、このような第三者経由の攻撃を「サプライチェーン攻撃」と呼びます。攻撃者は直接的に標的企業を狙うのではなく、セキュリティが相対的に弱い委託先や連携先を経由して本命の企業にアクセスするのです。

bgt?aid=250920794415&wid=001&eno=01&mid=s00000007238007011000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

なぜサプライチェーン攻撃が増加しているのか

現在のビジネス環境では、企業は単独で事業を行うことはほぼ不可能です。クラウドサービス、SaaS、マーケティングツール、決済代行業者など、多数の外部サービスと連携して事業を展開しています。

報道によれば、今夏以降、外部SaaSの認証情報（OAuthトークン）を足掛かりにCRMシステムなどへ横展開するサプライチェーン型攻撃が断続的に報告されています。攻撃者は以下のような流れでターゲット企業にアクセスします：

委託先の脆弱性を特定：セキュリティが比較的弱い中小企業やSaaSプロバイダを特定
初期侵入：フィッシングメールや脆弱性攻撃により委託先システムに侵入
認証情報の窃取：OAuthトークンやAPI キーなどの認証情報を取得
横展開：取得した認証情報を使って本命企業のシステムにアクセス
データ窃取：目的のデータを窃取し、場合によってはランサムウェアを展開

実際のフォレンジック事例から見る被害パターン

私が担当したサプライチェーン攻撃の事例では、以下のようなパターンが多く見られます：

事例1：マーケティングツール経由の攻撃

ある中堅製造業では、利用していたマーケティングオートメーションツールが攻撃を受け、そこから顧客データベースにアクセスされました。同社はアンチウイルスソフトを導入していましたが、外部SaaSの認証情報が窃取されたため、直接的な防御は困難でした。

事例2：決済代行業者経由の攻撃

ECサイトを運営する小売業者の事例では、決済代行業者のシステムが侵害され、顧客の購入履歴と個人情報が漏洩しました。この企業はVPN で通信を保護していましたが、API連携部分での認証情報管理に問題がありました。

企業が今すぐ実施すべき対策

1. ベンダリスク管理の徹底

サプライチェーン攻撃を防ぐには、連携先のセキュリティレベルを定期的に評価し、適切な管理を行う必要があります：

権限の最小化：外部サービスには必要最小限の権限のみを付与
OAuthトークンの管理：定期的な棚卸しと短寿命化の実施
IP・地域制限：不審なアクセス元からの接続をブロック
異常行動の検知：通常とは異なるアクセスパターンを即座に検知

2. データの分離と最小化

ハロッズの事例で興味深いのは、重要な情報（パスワード、決済情報）は漏洩を免れた点です。これは適切なデータ分離が功を奏した結果と考えられます：

データ分類：機密度に応じた適切な分類と保存場所の分離
情報の最小化：マーケティング用のラベルは識別性を低減
不可逆化処理：必要に応じてハッシュ化や暗号化を実施

3. インシデント対応体制の整備

外部プロバイダ経由の攻撃でも、最終的な責任は委託元企業が負います。迅速な対応ができる体制を整えておくことが重要です：

即時通知体制：委託先からの報告を受けた際の対応フローの確立
コミュニケーション準備：顧客向け通知のテンプレートやFAQの事前準備
多言語対応：グローバル企業の場合は多言語での対応準備

個人ユーザーができる対策

企業側の対策も重要ですが、個人ユーザーとしても自分の情報を守るためにできることがあります：

基本的なセキュリティ対策

アンチウイルスソフトの導入：マルウェアやフィッシング攻撃からデバイスを保護
強固なパスワード管理：各サービスで異なる複雑なパスワードを使用
二段階認証の有効化：可能な限り全てのアカウントで設定
VPN の利用：公共Wi-Fi利用時の通信保護

情報漏洩時の対応

今回のハロッズの事例のように情報漏洩の通知を受けた場合：

パスワードの変更：該当サービスのパスワードを即座に変更
関連アカウントの確認：同じパスワードを使い回している他のサービスも変更
不審な活動の監視：フィッシングメールや不正利用の兆候に注意
クレジットカード情報の監視：必要に応じてカード会社に連絡

企業のWebサイトセキュリティ強化

企業サイトを運営している場合、サプライチェーン攻撃の標的にならないよう、定期的なセキュリティチェックが不可欠です。Webサイト脆弱性診断サービスを活用して、自社サイトの脆弱性を定期的に診断し、攻撃者に狙われるリスクを最小限に抑えましょう。

まとめ：サプライチェーン攻撃への備えが急務

ハロッズの事例は、現代のビジネス環境において、どれだけ大企業であってもサプライチェーン攻撃のリスクから完全に逃れることはできないことを示しています。重要なのは、このようなリスクを前提として、適切な対策を多層的に講じることです。

企業は委託先管理の徹底とインシデント対応体制の整備を、個人ユーザーは基本的なセキュリティ対策の実施を心がけることで、サプライチェーン攻撃による被害を最小限に抑えることができるでしょう。

サイバー攻撃は日々進化しており、今回のような第三者経由の攻撃は今後も増加すると予想されます。「自分には関係ない」と考えず、今すぐできる対策から始めることが重要です。