innovaTopia

Tech for Human Evolution

Shopify顧客データ流出、第三者アプリが原因で179,873件の情報が漏洩

Shopify顧客データ流出、第三者アプリが原因で179,873件の情報が漏洩 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-09 06:34 by admin

Shopifyは、自社のシステムが侵害されたわけではなく、サードパーティアプリによるデータ漏洩が発生したと発表した。

この事故により、顧客データが盗まれたとされる。サイバー犯罪者「888」は、2024年に発生したと主張する侵害により、179,873件のユーザー情報が含まれるデータをオンラインで販売している。

漏洩したデータには、Shopify ID、名前、姓、メールアドレス、携帯電話番号、注文数、総購入額、メール購読状況、メール購読日、SMS購読状況、SMS購読日などが含まれる。

データの出所については、Shopifyプラグインを開発する米国の会社Saaraが所有する公開MongoDBデータベースからのものであり、1,800以上のShopifyストアをカバーするプラグインからの25GBのデータが含まれていた。

また、ShopifyのパートナーであるEvolve Bank & Trustのデータ侵害も関連している可能性がある。

データ侵害後の自己防衛策として、侵害された可能性がある場合は、ベンダーのアドバイスを確認し、パスワードの変更、強力なパスワードの選択、二要素認証(2FA)の有効化、偽のベンダーに注意し、急を要するテーマを使用するフィッシング攻撃に対する警戒、カード情報の保存を避ける、身元監視の設定などが推奨される。

また、Malwarebytesは、個人データのオンラインでの露出度をチェックする無料ツールを提供している。

【編集者追記】用語解説

  • サードパーティアプリ
    Shopifyやデバイスの製造元以外の企業が開発したアプリケーションのことです。例えば、iPhoneユーザーにとってはGoogle製のアプリがサードパーティアプリに該当します。

【編集者追記】Shopifyのデータ流出事件について少し深堀り

事案の発生時期:
この事件は2024年7月4日に発生したとされています。脅威アクター「888」が、この日にBreachForumsというハッキングフォーラムで情報を公開しました。⑦関係者の詳細:

  • Shopify:カナダを拠点とする多国籍eコマースプラットフォーム企業です。
  • 脅威アクター「888」:過去にCredit Suisse、Shell、Heineken、Accenture India、UNICEFなどの企業からデータを流出させたとされる人物または集団です。
  • 流出したとされるデータ数:179,873件(約18万件ではなく、より正確な数字)
  • Shopifyの直近の年間収益:74億ドル(約1兆円)

流出した可能性のある情報には以下が含まれます:

  1. Shopify ID
  2. 氏名(名・姓)
  3. メールアドレス
  4. 携帯電話番号
  5. 注文数
  6. 総支出額
  7. メール購読状況と購読日
  8. SMS購読状況と購読日

Shopifyは自社のシステムがハッキングされたことを否定し、データ流出は第三者アプリケーションによるものだと説明しています。

しかし、具体的なアプリ名や影響を受けた正確な顧客数については明らかにしていません。この事件は、eコマースプラットフォームのセキュリティの重要性を再認識させる出来事となりました。

特に、第三者アプリケーションの利用に関するリスク管理の必要性が浮き彫りになっています。読者の皆様、特にShopifyを利用している事業者の方々は、自社のアカウントやデータのセキュリティを今一度確認し、必要に応じて対策を講じることをお勧めします。

【参考リンク】
Shopifyオフィシャルサイト(外部)

【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む

【ニュース解説】

Shopifyは、自社のシステムが直接侵害されたわけではなく、第三者のアプリを介して顧客データが盗まれたと発表しました。この事件は、サイバー犯罪者「888」によってオンラインで販売された179,873件のユーザー情報を含むデータ侵害に関連しています。漏洩したデータには、Shopify ID、名前、姓、メールアドレス、携帯電話番号などの個人情報のほか、注文数や総購入額などのShopify特有のデータも含まれています。このデータの出所は、Shopifyプラグインを開発する米国の会社Saaraが所有する公開MongoDBデータベースであり、1,800以上のShopifyストアに関連する25GBのデータが含まれていたことが示唆されています。

このようなデータ侵害事件は、個人情報の保護とデジタルセキュリティの重要性を改めて浮き彫りにします。侵害された可能性がある場合、ユーザーはパスワードの変更、二要素認証(2FA)の有効化、偽のベンダーに対する警戒など、自己防衛策を講じることが推奨されます。また、カード情報の保存を避け、身元監視サービスを利用することで、将来的なリスクを軽減することができます。

この事件は、第三者のアプリやサービスを利用する際のリスクも浮き彫りにします。Shopifyのようなプラットフォームは、多くの第三者開発者やサービスプロバイダーと連携しており、これらのエコシステム内でのデータ管理とセキュリティが重要な課題となります。プラットフォーム側は、提携する第三者のセキュリティ基準を厳格に管理し、ユーザーのデータ保護を最優先事項として扱う必要があります。

長期的な視点では、このようなデータ侵害事件は、デジタルセキュリティ技術の進化とともに、法規制や業界基準の強化を促す可能性があります。個人情報の保護とデータ侵害への対応に関する透明性の向上が求められるでしょう。また、消費者は自身のデジタルフットプリントに対する意識を高め、セキュリティ対策を適切に講じることが重要です。この事件は、デジタル時代における個人情報保護の課題と対策について、改めて考える機会を提供しています。

from Shopify says stolen customer data was taken in third-party breach.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Shopify顧客データ流出、第三者アプリが原因で179,873件の情報が漏洩