トイザらスカナダは2025年10月23日、攻撃者がデータベースにアクセスして顧客の個人情報を盗み、オンラインに公開したことを顧客に通知した。
同社は7月30日に侵入者がインデックス化されていないインターネットに盗んだ顧客データを投稿したと主張した後、デジタル侵入を発見した。調査により、名前、住所、電話番号、メールアドレスが盗まれたことが確認された。パスワード、クレジットカード情報などの機密データは含まれていないという。
同社は第三者のサイバーセキュリティ専門家を雇い、プライバシー規制当局への報告も進めている。しかし、顧客に対して通常提供されるデジタルID・詐欺監視サービスは提供していない。同時期にSalesloftのDrift統合を介したOAuthトークンの悪用により、多数の企業から顧客データを盗むことが可能になった。また7月からはCL0Pに関連するOracle E-Business Suiteへの攻撃で数十の組織が侵害されている。
From: 
Toys R Us Canada customer data swiped, dumped online
【編集部解説】
今回のトイザらスカナダの情報漏洩事案は、単なる一企業の問題ではなく、2025年夏から秋にかけて発生した一連の大規模サイバー攻撃の文脈で捉える必要があります。
注目すべきは、企業側の対応です。通常、顧客データが漏洩した場合、被害を受けた顧客に対して無料の信用監視サービスや個人情報詐欺監視サービスを提供することが業界標準となっています。しかし、トイザらスカナダはこうしたサービスを提供していません。この対応は、企業の危機管理姿勢として疑問が残ります。
また、同社が侵害を発見したのは7月30日であるにもかかわらず、顧客への通知は10月23日と、約3ヶ月近い時間が経過しています。カナダのプライバシー法では「可能な限り速やかに」通知することが求められていますが、この遅延の理由については明らかにされていません。
この事案が発生した時期は、サイバーセキュリティ業界にとって極めて重要な転換点でした。Cloudflareは、夏から秋にかけてSalesloftのDrift統合を悪用したOAuthトークン攻撃により、自社を含めた数百の組織が被害を受けたと報告しています。Zscaler、Palo Alto Networksなども影響を受けた企業の中に含まれています。この攻撃では、信頼されたサードパーティ統合の脆弱性が突かれ、多要素認証をバイパスして顧客環境に侵入されています。
さらに、CL0Pランサムウェアグループは、Oracle E-Business Suiteのゼロデイ脆弱性(CVE-2025-61882)を悪用し、数十の組織から大量のデータを窃取しました。Googleの報告によれば、この攻撃は7月には既に始まっていた可能性があり、パッチが提供される前から悪用されていたことが明らかになっています。
これらの攻撃に共通するのは、従来のセキュリティ対策では防ぎきれない手法が用いられていることです。OAuthトークンの不正利用やゼロデイ脆弱性の悪用は、境界防御やパスワード管理といった従来型のセキュリティモデルの限界を浮き彫りにしています。
企業にとって、サードパーティ統合の監視、最小権限アクセスの徹底、SaaSアプリケーションのセキュリティ継続的テストが不可欠となっています。また、消費者側も、漏洩した名前、住所、電話番号、メールアドレスといった情報が、ソーシャルメディア上の情報と組み合わされることで、高度にパーソナライズされたフィッシング攻撃やなりすまし詐欺に利用される可能性があることを認識する必要があります。
【用語解説】
ダークウェブ
一般的な検索エンジンではインデックス化されず、特殊なソフトウェアを使用しないとアクセスできないインターネット空間である。匿名性が高く、違法な取引や盗まれたデータの売買が行われることが多い。
OAuthトークン
ユーザーのパスワードを共有せずに、第三者のアプリケーションが特定のサービスへのアクセス権限を得るための認証方式である。適切に管理されないと、攻撃者が正規のユーザーと同じ権限でシステムにアクセスできてしまう。
ゼロデイ脆弱性
ソフトウェアのセキュリティ上の欠陥が発見されてから、開発元がパッチを提供する前に悪用される脆弱性である。防御側が対策を講じる時間がないため、特に危険度が高い。
CL0P(Cl0p)
ランサムウェア攻撃を専門とする犯罪グループである。データの暗号化だけでなく、窃取したデータを公開すると脅迫する「二重恐喝」の手法を用いることで知られている。
【参考リンク】
Toys”R”Us Canada(外部)
カナダ全土に80店舗以上を展開する玩具・ベビー用品専門店の公式サイト。2018年以降カナダ独立企業として運営している。
Oracle E-Business Suite(外部)
Oracle社が提供する統合業務アプリケーション群。財務、製造、CRMなど多様な業務プロセスを管理できるERPパッケージ。
Salesloft(Drift統合)(外部)
営業支援プラットフォームSalesloftが買収したチャットボットサービス。Salesforceなどと連携し顧客エンゲージメントを自動化。
【参考記事】
Salesloft Drift Breach: Everything You Need to Know(外部)
Salesloft Drift経由のサプライチェーン攻撃について詳細解説。700以上の組織がSalesforce環境へのアクセスを許した経緯を説明。
Oracle E-Business Suite Zero-Day Exploited(外部)
GoogleによるOracle EBSゼロデイ脆弱性の詳細レポート。CL0Pグループが7月から数十の組織を侵害していた実態を明らかに。
Toys “R” Us Canada warns customers’ info leaked in data breach(外部)
トイザらスカナダのデータ漏洩を技術的観点から分析。7月発見から10月通知までの遅延と顧客保護サービス未提供を指摘。
Widespread Data Theft Targets Salesforce Instances via Salesloft Drift(外部)
GoogleのThreat Intelligence GroupによるDrift経由の大規模データ窃取キャンペーンの詳細分析レポート。
Threat Brief: Salesloft Drift Integration Used To Compromise Salesforce Instances(外部)
Palo Alto NetworksのUnit 42による脅威分析。侵害されたOAuth認証情報を通じた攻撃手法を技術的に解説。
【編集部後記】
今回の事案は、私たち一人ひとりにとって決して遠い世界の話ではありません。名前や住所、メールアドレスといった情報が、どのように悪用される可能性があるのか、改めて考えてみませんか。
企業側の対応も含め、データ漏洩が起きた後にどう動くべきかは、これからますます重要なテーマになっていくでしょう。みなさんは、自分の個人情報がどこでどう管理されているか、意識されたことはありますか。一緒に考えていければと思います。
