innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

ザ・ノース・フェイス、サイバー攻撃で2800件超の顧客情報漏洩か。クレデンシャルスタッフィング攻撃の手口と対策を解説

ザ・ノース・フェイス、サイバー攻撃で2800件超の顧客情報漏洩か。クレデンシャルスタッフィング攻撃の手口と対策を解説 - innovaTopia - (イノベトピア)

アウトドアブランドのザ・ノース・フェイスは、2025年4月23日に同社公式オンラインストア(thenorthface.com)で発生したサイバー攻撃について顧客に通知した。

同日に検知されたこの攻撃は「クレデンシャルスタッフィング攻撃」であり、2,861件の顧客アカウントが影響を受けた。

漏洩した可能性のある個人情報には、氏名、メールアドレス、生年月日、電話番号、配送先住所、注文履歴、ユーザーの好みなどが含まれる。

クレジットカード情報はトークン化されており、決済処理は外部委託のため漏洩していない。

ザ・ノース・フェイスは該当アカウントのパスワードを無効化し再設定を求めるとともに、米国の個人情報保護法上の通知義務はないとしつつも、自主的に顧客へ通知した。

From:
文献リンクWhy Good Passwords Matter: 2,800 North Face Accounts Breached in Cyberattack

【編集部解説】

今回、アウトドア用品大手のザ・ノース・フェイスで確認されたのは、「クレデンシャルスタッフィング攻撃」による顧客情報の不正アクセスです。同社は2025年4月23日にウェブサイトでの不審な活動を検知し、調査の結果この攻撃が判明しました。

クレデンシャルスタッフィング攻撃とは

この攻撃手法は、過去に他のサービスから漏洩したIDとパスワードのリスト(名簿)を利用して、別のウェブサイトやサービスに自動的に大量のログイン試行を行うものです。

ユーザーが複数のサービスで同じ認証情報を使い回している場合、一箇所での情報漏洩が他のサービスでの不正アクセスに繋がる危険性があります。ザ・ノース・フェイスのケースでは、攻撃者が外部で入手した認証情報を使い、同社の顧客アカウントへのアクセスを試みたと見られています。

漏洩した情報とされなかった情報

幸いなことに、クレジットカード番号や有効期限、セキュリティコードといった決済情報は漏洩の対象外でした。これは、ザ・ノース・フェイスが実際の決済情報を自社サイトに直接保存せず、決済処理を外部の専門業者に委託し、「トークン」という特殊な文字列に置き換えて管理していたためです。

このトークンは同社システム内でのみ有効なものです。しかし、氏名、メールアドレス、電話番号、配送先住所、さらには購入履歴やユーザーの好みといった個人情報が漏洩した可能性があります。これらの情報は、フィッシング詐欺やなりすましといった二次的なサイバー犯罪に悪用されるリスクが伴います。

企業の対応と過去の状況

ザ・ノース・フェイスは、影響を受けたアカウントのパスワードを無効化し、ユーザーに再設定を促すとともに、他のサービスで同じパスワードを使用している場合は変更するよう勧告しています。同社は、今回の事案について米国の個人情報保護法上の通知義務はないものの、顧客への透明性を重視し自主的に通知を行ったと説明しています。

ザ・ノース・フェイスがこの種の攻撃の標的となるのは初めてではなく、過去にも同様の攻撃事例が報告されています。親会社であるVFコーポレーションも、過去に大規模なサイバー攻撃の被害を受けており、グループ全体でのセキュリティ対策の継続的な強化が求められています。

私たちに求められる対策

このニュースは、私たちユーザーがいかにパスワード管理に注意を払うべきか、そして企業側がセキュリティ対策を継続的に強化する必要性を改めて示しています。具体的には、

  • 強力かつユニークなパスワードの設定: 他のサービスとは異なる、推測されにくいパスワードを使用する。パスワードマネージャーの利用も有効です。
  • 二要素認証の有効化: 可能であれば必ず設定し、セキュリティ層を追加する。
  • アカウントに保存する情報の最小化: 不必要に多くの個人情報をオンラインアカウントに保存しない。
  • 不審なメールやメッセージへの警戒: フィッシング詐欺の可能性を常に意識する。

といった対策が個人レベルでも重要です。

テクノロジーが進化し、生活がデジタル化する中で、サイバーセキュリティの重要性はますます高まっています。今回の事案は、私たち一人ひとりが自身のデジタル情報を守る意識を高め、企業がその責任を真摯に果たすことの継続的な重要性を物語っています。

【用語解説】

クレデンシャルスタッフィング攻撃:
過去に漏洩したIDとパスワードのリストを利用し、他のサービスへの不正ログインを試みるサイバー攻撃手法。

VFコーポレーション (VF Outdoor社):
ザ・ノース・フェイスの親会社で、多くのアパレル・フットウェアブランドを傘下に持つグローバル企業。

トークン化:
クレジットカード情報などの機密データを、それ自体に価値のない別の文字列(トークン)に置き換えて保護する技術。

【参考リンク】

THE NORTH FACE(日本公式サイト)(外部)
株式会社ゴールドウインが運営するザ・ノース・フェイスの日本公式オンラインストア。製品情報、店舗情報などを掲載。

VF Corporation(公式サイト)(外部)
ザ・ノース・フェイスの親会社であるVFコーポレーションの公式サイト。企業情報、ブランドポートフォリオなどを掲載(英語)。

【参考動画】

【参考記事】

The North Face(ザ・ノース・フェイス)、4月のECサイトへのサイバー攻撃で個人情報閲覧の可能性 (ROCKETBOYS)(外部)
2025年4月に発生したザ・ノース・フェイスのECサイトへの不正アクセスについて日本語で解説。

The North Face warns customers of April credential stuffing attack (BleepingComputer)(外部)
ザ・ノース・フェイスが顧客に警告した4月のクレデンシャルスタッフィング攻撃について報じ、対策の重要性を解説。

【編集部後記】

今回のザ・ノース・フェイスのニュース、他人事ではないと感じられた方も多いのではないでしょうか。便利なオンラインサービスですが、常に情報漏洩のリスクと隣り合わせであることを改めて考えさせられますね。

皆さんは、パスワードの使い回しをしていませんか?二要素認証は設定されていますか?この機会に、ご自身のセキュリティ対策を見直してみるのも良いかもしれません。私たち一人ひとりの小さな行動が、安全なデジタル社会を築く一歩となるはずです。

サイバーセキュリティニュースをinnovaTopiaでもっと読む

投稿者アバター
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » ザ・ノース・フェイス、サイバー攻撃で2800件超の顧客情報漏洩か。クレデンシャルスタッフィング攻撃の手口と対策を解説

Recommend