Bleeping Computerは2月15日(現地時間)、「Canada Goose investigating as hackers leak 600K customer records」において、カナダに拠点を置く衣料品メーカー「Canada Goose」から60万件の個人情報が流出したと報じた。

これは脅威グループ「ShinyHunters」の主張に基づいており、Canada Gooseは侵害の証拠は発見されていないと表明している。

  • Canada Goose investigating as hackers leak 600K customer records

    Canada Goose investigating as hackers leak 600K customer records

脅威グループの主張

脅威グループ「ShinyHunters」は2月15日(現地時間)、同グループが運営するデータ流出サイトにCanada Gooseを追加。60万件以上の個人識別情報(PII: Personally Identifiable Information)および財務情報を含む記録の入手を主張したという。

  • 脅威グループ「ShinyHunters」が公開したCanada Gooseのデータ流出サイト - 引用:Bleeping Computer

    脅威グループ「ShinyHunters」が公開したCanada Gooseのデータ流出サイト 引用:Bleeping Computer

データのサンプルを分析したBleeping Computerによると、データはJSON形式で保存され、次の情報を含んでいたとされる。

  • 氏名
  • メールアドレス
  • 電話番号
  • 請求および配送先
  • IPアドレス
  • 注文履歴
  • 注文金額
  • デバイスおよびWebブラウザーの情報
  • クレジットカードのブランド
  • クレジットカード番号の下4桁
  • クレジットカード番号の上位6桁(発行者識別番号)
  • 支払い承認のメタデータ

ShinyHuntersはデータの入手元を2025年8月ごろに発生した決済処理業者による漏洩事案に由来すると述べ、Canada Gooseに対する直接攻撃を否定したという。この主張について、Bleeping Computerは真偽を未確認としているが、侵害を否定するCanada Gooseの主張と一致している。

Canada Gooseの今後の方針は未定

Canada Gooseは流出データの正確性および影響範囲を特定する作業を行っており、本稿執筆時点で影響を受けた顧客の人数や地域などは明らかになっていない。作業完了後に個別の通知を送付するかについても未定とされる。

影響範囲は特定されていないが、影響を受けた可能性のあるユーザーは、フィッシング詐欺およびソーシャルエンジニアリング攻撃に警戒することが推奨される。個人識別情報に加え、注文履歴を流出した可能性があり、説得力の高い攻撃の実施が予想されている。