Bleeping Computerは5月26日(米国時間)、「「7-Eleven data breach exposes personal information of 185,000 people」」において、コンビニエンスストア大手「7-Eleven」から18万5000件以上の個人情報が流出したと報じた。

このことは7-Elevenが影響対象者向けに送付した通知書で明らかになった。漏洩データ検索通知サービス「Have I Been Pwned(HIBP)」で分析したところ、流出データには約18万5300件の固有メールアドレスが含まれていたという。

データ流出事案の概要

7-Elevenの発表によると、同事案は4月8日に発生した。同社は攻撃を確認後、フォレンジック企業と共同で調査を開始し、影響評価および是正処理を進めたとしている。

調査の結果、攻撃者はフランチャイズ加盟店関連の書類を保管していた特定システムに不正アクセスしたことが判明した。フランチャイズ申請時に提出されたデータへ不正アクセスされた可能性があり、これらデータには氏名、住所、その他のデータ要素が含まれるという。

一方、Bleeping Computerによると、攻撃を主張する脅威グループ「ShinyHunters」は、7-Elevenが公表する以前から詳細情報を公開していたとされる。

ShinyHuntersは、不正アクセスしたシステムについて、7-ElevenのSalesforce環境だと主張している。同グループは社内データおよび個人情報を含む60万件以上のSalesforceレコードを窃取し、同社に対して身代金の支払いを要求した。しかし、要求が拒否されたことから、ダークWeb上のリークサイトで9.4GBの窃取データを公開したとしている。

  • ShinyHuntersのリークサイトで公開された7-Elevenの流出データ - 引用:Bleeping Computer

    ShinyHuntersのリークサイトで公開された7-Elevenの流出データ - 引用:Bleeping Computer

流出したのは氏名・住所・電話番号など

ShinyHuntersが公開したデータはHIBPにより分析され、次の情報が含まれていることが確認された。

  • 氏名
  • 生年月日
  • 固有のメールアドレス
  • 電話番号
  • 住所
  • Have I Been Pwnedは、7-Eleven流出データに約18万5300件の固有メールアドレスが含まれていたと分析している - 引用:Have I Been Pwned

    Have I Been Pwnedは、7-Eleven流出データに約18万5300件の固有メールアドレスが含まれていたと分析している - 引用:Have I Been Pwned

また、HIBPは、これらデータが7-Elevenの説明する「フランチャイズ申請時に提出された情報」と整合する内容だったと分析している。

今回の流出データは、一般消費者向けサービスよりも、フランチャイズ加盟関連情報に影響した可能性が高いとみられる。このため、フランチャイズ加盟店オーナーや関係者に対するフィッシング詐欺、ソーシャルエンジニアリング攻撃などへの悪用に注意が必要とされる。