Bleeping Computerは2026年3月13日(現地時間)、「Starbucks discloses data breach affecting hundreds of employees」において、コーヒーチェーン大手の米Starbucksで従業員の個人情報を含むデータ侵害が発生し、数百人規模の従業員アカウントが外部から閲覧可能な状態になっていたと報じた。
攻撃者は従業員向けポータルを装った偽サイトを利用して認証情報を入手し、社内アカウントに侵入していたという。
-
Starbucks discloses data breach affecting hundreds of employees
スターバックスの従業員管理ポータルが侵害
Starbucksが州司法長官事務所に提出した通知文書によると、問題は2026年2月6日に確認されている。外部のサイバーセキュリティ専門家と共同で調査を行った結果、攻撃者は従業員向け管理ポータル「Partner Central」に登録された889件のアカウントへアクセスしていたことが判明した。
Partner Centralは、従業員の雇用情報、福利厚生、人事関連データなどを管理する社内システムだ。今回の侵害により、氏名、社会保障番号、生年月日、金融口座番号、銀行のルーティング番号など、本人確認や金融取引に関連する重要な情報が閲覧できたという。
偽サイトからログイン情報を窃取
調査では、サイバー攻撃者が「Partner Central」を模倣した偽サイトを作成し、従業員がそこへログイン情報を入力したことが侵入の原因である可能性が高いと判断している。こうした手口はフィッシング攻撃の一種で、正規サイトと外見が似たページを利用して資格情報を盗み取る方法として知られている。
同社によれば、不正アクセスが行われていた期間は2026年1月19日から2月11日までだ。企業は2月6日に問題を把握したが、攻撃者のアクセスが完全に遮断されるまでには数日を要した。理由の詳細は公表されていない。
Starbucksは問題確認後、法執行機関へ通報し、被害を受けた従業員へ通知を送付した。対象者には、銀行口座の不審な取引を確認するよう注意喚起が行われている。さらに、信用監視や個人情報盗難対策を提供するExperianの「IdentityWorks」を通じ、2年間の監視サービスが無償提供される。
同社は声明で、侵害の性質と範囲を調査し、対応を行うための措置を速やかに開始したと説明した。また、従業員ポータルへのアクセス管理やセキュリティ対策の強化も進めたとしている。
顧客情報は影響なし
Bleeping Computerが記事を公開した後、Starbucksの広報担当者はコメントを伝えたという。担当者によれば、一部の従業員が従業員向けサイトを装う偽ページに接触したことで第三者によるアカウント侵入が起きた。同社は問題の修正と関係者への通知を完了しており、業務は通常状態へ戻っていると説明している。
Starbucksは顧客データに影響が及んだ事実は確認されていないと強調した。今回の侵害は従業員向けアカウントに限定されたもので、店舗利用者の個人情報は対象外だとしている。
従業員ポータルの危険性が露呈
Starbucksでは過去にも情報セキュリティ問題が報告されている。2022年9月にはシンガポール部門で21万人以上の顧客データが流出した。これは顧客情報を保管していた外部ベンダーのシステムが侵入されたことが原因だった。
今回の事案は、従業員ポータルを狙うフィッシング攻撃の危険性を示す例と言える。企業の内部システムは機密情報を大量に保管しているため、認証情報が盗まれた場合、広範なデータ流出につながる可能性がある。専門家は、従業員教育の強化や多要素認証の導入など、認証情報の悪用を防ぐ対策の重要性を指摘している。
本稿執筆時点において、同件に関し、スターバックスコーヒージャパンからの発表は行われていない。
