Malwarebytesは7月15日(米国時間)、「Disney "breached", data dumped online|Malwarebytes」において、ウォルト・ディズニー・カンパニーから内部データが漏洩したと報じた。これはハクティビストを自称する脅威グループ「NullBulge」が、X(旧Twitter)へ1.1TBのSlackデータを窃取したと投稿したことで明らかになった。

  • Disney "breached"、data dumped online|Malwarebytes

    Disney "breached", data dumped online|Malwarebytes

漏洩データの内容

脅威グループはX(旧Twitter)に投稿した直後、侵害フォーラムにデータ窃取の概要を投稿した。Xおよびフォーラムの投稿によると、漏洩したデータはディズニー開発チームが使用しているコミュニケーションツール「Slack」のデータとされる。

  • 脅威グループ「NullBulge」のXへの投稿 - 引用:Malwarebytes

    脅威グループ「NullBulge」のXへの投稿 引用:Malwarebytes

データサイズは合計で1.1TBとされ、10,000チャネルのすべてのメッセージとファイルを含むという。脅威グループはメッセージやファイルに次のデータが含まれると主張している。

  • 未公開プロジェクト
  • 画像とコード
  • 複数のログイン情報
  • 内部アプリケーション・プログラミング・インターフェイス(API: Application Programming Interface)およびWebページへのリンク
  • 脅威グループ「NullBulge」の侵害フォーラムへの投稿 - 引用:Malwarebytes

    脅威グループ「NullBulge」の侵害フォーラムへの投稿 引用:Malwarebytes

侵害の経緯と対応

脅威グループはXへ次のようなメッセージを投稿しており、内部協力者の存在や、漏洩データに個人情報が含まれる可能性を示唆している。

われわれは深く侵入するまで我慢しようとしたが、内部の人間が怖気づいて追い出されてしまった。内部協力者は特別な何かを持っていると思っていた。ログイン情報、クレジットカード、社会保障番号(SSN: Social Security number)などの個人情報の公開は、将来の人々への警告と捉えてほしい。

これまでのところ、ディズニーは公式の声明を発表していない。漏洩したデータに個人情報などが含まれる場合は、速やかな情報公開と適切な対応が望まれる。