Last Updated on 2025-06-02 11:03 by admin
2025年5月26日、米国の下着ブランドVictoria’s Secretがサイバー攻撃を受け、5月28日に予防措置として米国のウェブサイトと一部店舗サービスを停止した。
同社は第三者のサイバーセキュリティ専門家を雇用し復旧作業を進めているが、攻撃の詳細や解決時期は公表していない。攻撃者の身元は不明である。
実店舗約1,350店舗は70か国で営業を継続している。株価は攻撃発表後に約8%下落した。年間売上62億ドルのうち約3分の1にあたる20億ドルがオンライン事業である。
この攻撃は、米国の主要ブランドを狙い始めたサイバー犯罪グループの活動の一環とみられる。Marks & Spencer、Harrods、Co-opなど英国の小売業者も過去にサイバー攻撃の被害に遭っているが、これらの攻撃者が今回のVictoria’s Secretへの攻撃者と直接同一であるかは不明である。
From: 
Victoria’s Secret hit by cyberattack; company says, ‘we have taken down our website and…’
【編集部解説】
今回のVictoria’s Secretへのサイバー攻撃は、2025年5月に入って急激に拡大している小売業界を標的とした組織的犯罪の一環として捉える必要があります。攻撃は5月26日(月曜日、米国メモリアルデー)に開始され、5月28日に同社が公式発表を行いました。
最も深刻な問題は、この攻撃が単発の事件ではなく、Scattered Spiderなど、英国での活動が成功したと見られるサイバー犯罪グループが米国の主要小売業者を標的にし始めている流れの一環とみられる点です。GoogleのMandiantはScattered Spiderについて警告を発しています。
Victoria’s Secretの被害規模は深刻です。同社の年間売上62億ドルのうち、約3分の1にあたる20億ドルがオンライン販売によるものです。攻撃開始から1週間以上経過した現在も完全復旧に至っておらず、株価は約8%下落しました。これは単なるウェブサイトの停止以上の意味を持ちます。
技術的な観点から見ると、攻撃者たちは2025年に入ってAIを活用したソーシャルエンジニアリング攻撃の高度化を進めています。特にメモリアルデーのような祝日を狙った攻撃は、IT部門の人員が不足するタイミングを狙った戦略的なものです。
英国での被害状況を見ると、Marks & Spencerは約3億ポンド(約4億400万ドル)の損失を計上し、影響は7月まで続く見込みです。Co-opでは顧客データの大規模漏洩が発生し、Harrodsでも短期間ながらサービス停止を余儀なくされました。
この事件が示すのは、小売業界全体が直面している構造的脆弱性です。多くの小売業者がサイバーセキュリティを第三者に委託しており、統一された防御戦略が不足している現状があります。
規制面では、このような大規模攻撃の頻発により、小売業界にも金融業界並みのサイバーセキュリティ規制が導入される可能性が高まっています。特に顧客データ保護とインシデント対応の透明性について、より厳格な要求が課される見込みです。
長期的な影響として考慮すべきは、消費者のデジタル信頼の揺らぎです。Victoria’s Secretのような知名度の高いブランドが長期間サービス停止に追い込まれることで、オンラインショッピング全体への不安が高まる恐れがあります。
一方で、この事件は企業のサイバーセキュリティ投資を促進する契機ともなり得ます。特にゼロトラスト・アーキテクチャの導入や、従業員教育の強化、クラウドセキュリティの見直しなど、防御体制の抜本的改革が進む可能性があります。
今回の攻撃は、デジタル化が進む現代社会において、サイバーセキュリティがもはや技術部門だけの問題ではなく、企業経営の中核課題であることを改めて浮き彫りにしました。
【用語解説】
Scattered Spider(スキャッタード・スパイダー)
主に英語圏の若い男性で構成される分散型サイバー犯罪集団。UNC3944、Octo Tempest、Scatter Swineなどの別名でも知られる。ソーシャルエンジニアリング攻撃を得意とし、企業のヘルプデスクに電話をかけて従業員になりすまし、認証情報を窃取する手法で知られる。2023年のMGM Resorts攻撃でも関与が疑われている。
ランサムウェア(Ransomware)
コンピューターシステムやデータを暗号化し、復号のために身代金を要求する悪意のあるソフトウェア。近年は「二重恐喝」と呼ばれる手法で、データの暗号化と情報漏洩の両方を脅迫材料として使用する。
ソーシャルエンジニアリング
技術的な脆弱性ではなく、人間の心理的な隙を突いて機密情報を窃取する攻撃手法。電話やメールを使って信頼関係を築き、パスワードや認証情報を聞き出す。
メモリアルデー攻撃
米国の祝日であるメモリアルデー(5月最終月曜日)を狙った攻撃。IT部門の人員が不足するタイミングを狙った戦略的な攻撃手法。
【参考リンク】
Victoria’s Secret & Co.(外部)
世界最大の女性向けランジェリー・下着専門小売企業。年間売上62億ドル、約1,350店舗を70か国で展開している。
Marks & Spencer(外部)
英国を代表する小売チェーン。衣料品、ホームウェア、食品を扱う老舗ブランドで、今回のサイバー攻撃では約3億ポンドの損失を計上した。
Google Mandiant(外部)
Googleが買収したサイバーセキュリティ企業。Scattered Spiderの米国進出について警告を発した脅威インテリジェンス機関。
FBI・CISA合同サイバーセキュリティ勧告(外部)
米国FBI・CISAが発表するサイバーセキュリティに関する公式勧告。Scattered Spiderに関する詳細な分析と対策を提供している。
【参考動画】
E! Newsによる公式報道。Victoria’s Secretのサイバー攻撃について、事件の概要と同社の対応を簡潔に解説している。
サイバーセキュリティ専門企業SynextraによるScattered Spiderの詳細解説。同グループの手法と対策について専門的な視点から説明している。
【参考記事】
Victoria’s Secret Website Goes Dark After Security Breach(外部)
ニューヨーク・タイムズによる詳細報道。Victoria’s Secretの攻撃について、株価への影響や他の小売業者への攻撃との関連性を分析している。
Victoria’s Secret takes down U.S. website after “security incident”(外部)
CBS Newsによる包括的な報道。攻撃のタイムラインと同社の対応について詳細に解説している。
Victoria’s Secret Latest Hit in Growing Swath of Retail Cyber Attacks(外部)
小売業界専門メディアによる分析。小売業界全体のサイバーセキュリティ課題について業界視点から解説している。
【編集部後記】
今回のVictoria’s Secretの事例を見て、皆さんが普段利用されているオンラインショッピングサイトのセキュリティ対策について考えてみませんか。特に気になるのは、メモリアルデーのような祝日にサイバー攻撃が集中する傾向です。皆さんは祝日期間中のオンライン利用について、どのような注意を払われているでしょうか。また、企業のサイバーセキュリティ対策の透明性や、攻撃を受けた際の対応スピードについて、どの程度重視されているでしょうか。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
