ナポレオン・パーディス データ侵害：33万9千件のオーストラリア人顧客記録が流出

ナポレオン・パーディス データ侵害：33万9千件のオーストラリア人顧客記録が流出

「2019」という別名を使う脅威アクターが、オーストラリアの高級化粧品ブランド「ナポレオン・パーディス」の顧客記録33万9千件以上を含むデータベースを流出させたと主張しています。この疑惑の侵害は、まだ企業によって独自に確認されておらず、流出したとされるデータには、氏名、メールアドレス、電話番号、自宅住所と配送先住所の両方が含まれています。もし確認されれば、このインシデントは、近年オーストラリアの消費者に影響を与えた小売業のデータ漏えいの中でも特に深刻なものの一つとなり、漏えいしたデータの種類がそれを極めて危険なものにしています。

露出したデータとリスクにさらされている人々

主張されているデータセットは、基本的な情報をはるかに超えています。連絡先の詳細に加えて、流出したとされる記録にはロイヤルティプログラムのデータと総支出額の情報が含まれています。この組み合わせは重要です。フルネームに自宅住所、電話番号、メールアドレスが結びつけば、説得力のあるなりすまし攻撃を仕掛けるのに十分です。そこに購入履歴とロイヤルティの階層が加われば、攻撃者は個人の購買行動と金銭的習慣に関する詳細なプロファイルを入手することになります。

影響を受けた約339,100人は、主に店舗またはオンラインでナポレオン・パーディスと取引したことのあるオーストラリアの消費者です。データには配送先住所が含まれているため、勤務先や別のメールアドレスを使用していた顧客でさえも特定され、居場所を突き止められる可能性があります。ナポレオン・パーディスのアカウントを作成したことがある人、またはロイヤルティプログラムに登録したことのある人は、企業が明らかにするまで、自分の個人情報が危険にさらされている可能性があると考えるべきです。

ロイヤルティと支出データが脅威レベルを引き上げる理由

小売業の侵害に関する議論のほとんどは、支払いカード番号やパスワードに焦点を当てています。それらは深刻ですが、ロイヤルティと支出データは、しばしば過小評価されがちな別の種類のリスクをもたらします。

攻撃者は、顧客がその小売業者とどれだけの金額を費やしたかを知っていれば、ターゲットに優先順位をつけることができます。価値の高い顧客は、洗練されたフィッシングキャンペーン、詐欺的な返金詐欺、さらには物理的な接触の標的になる可能性が高くなります。あなたがプレミアムロイヤルティ会員であることを知っている詐欺師は、正しい名前と住所を備えた、限定特典の提供や請求問題の解決を装う極めて信憑性の高いメールを作成することができます。

このプロファイリング能力こそが、高リスクの侵害を日常的なものと区別するものです。この種のデータを含む侵害は、寿命も長くなります。パスワードやクレジットカード番号がリセット後に期限切れになるのとは異なり、この情報は期限切れになりません。

攻撃者が漏えいした住所と電話番号の記録を悪用する方法

自宅住所と電話番号は、侵害をデジタルの世界から物理的な世界へと移行させる二つのデータポイントです。攻撃者はこれらを利用してSIMスワッピング攻撃を行うことができます。これは、詐欺師が携帯キャリアを説得して、あなたの電話番号を自分の管理するデバイスに転送させ、SMSベースの二要素認証を回避する手口です。電話番号はまた、ビッシング（音声フィッシング）を可能にし、銀行、政府機関、小売業者を装って、さらなる個人情報や金融情報を引き出そうとする電話をかけてきます。

ビッシングにより1,000万件の記録が流出したADTのデータ侵害は、攻撃者が検証済みの連絡先詳細の十分な供給源を手にしたときに、電話ベースのソーシャルエンジニアリングがいかに大規模化するかを明確に示しています。自宅住所はさらに別の次元を加え、郵便詐欺、小包の傍受、被害者の自宅に対する親近感を悪用した標的型の接触を可能にします。

550万人の顧客に影響したADT侵害は、構造的に類似した別のケースですが、氏名、電話番号、自宅住所が組み合わさって個人情報詐欺のための完全なツールキットとなることを示しました。今回のナポレオン・パーディスの流出疑惑は、もし確認されれば、このプロファイルとほぼ完全に一致します。

小売業者が格好の標的となるのは、そのデータベースがIDデータと行動データを組み合わせており、しかも金融機関に比べてセキュリティ投資がはるかに少ないことが多いからです。主張されているナポレオン・パーディスのインシデントもこのパターンに当てはまります。

オーストラリアの消費者が今すぐ身を守るために取れる対策

ナポレオン・パーディスのアカウントを作成したことがある、またはロイヤルティプログラムに参加したことがあるなら、すぐに実行できる実用的な手順があります。

不審なメッセージが届いていないかメールを確認してください。 フィッシングの試みは、侵害が発表された後の数週間で急増する傾向があり、侵害されたブランド自体を装うことがよくあります。侵害に対処したり、補償を申し出たり、アカウントの確認を要求したりするメールにはすべて懐疑的になってください。

すべての金融アカウントで二要素認証を有効にしてください。 漏えいしたとされるデータには電話番号が含まれているため、可能な限りSMSベースのコードよりも認証アプリを優先してください。

クレジットファイルを監視してください。 オーストラリアの消費者は主要な信用情報機関からクレジットレポートを請求し、懸念がある場合は新規のクレジット申し込みに一時的な禁止をかけることができます。オーストラリアの全国的なIDおよびサイバーサポートサービスであるIDCAREのような組織は、自分のデータが悪用されたと考える個人を支援できます。

物理的な郵便詐欺に注意してください。 主張されているデータには配送先住所が含まれているため、予期しない小包、転送通知、配送詳細の確認依頼に注意してください。

データフットプリントを広く見直してください。 この侵害は、どの小売業者やサービスが自分の個人情報を保持しているかを監査する良いきっかけとなります。可能であれば、もはや使用していないアカウントを削除し、共有することに抵抗がある以上のデータを必要とするロイヤルティプログラムからはオプトアウトしてください。

ナポレオン・パーディスのデータ侵害の主張はまだ調査中であり、同社はまだ包括的な公式声明を発表していません。しかし、主張どおりの規模で侵害が最終的に確認されるかどうかにかかわらず、このインシデントは、小売のロイヤルティデータベースがほとんどの顧客が認識しているよりもはるかに多くの機密情報を保持していることを思い起こさせるものです。今積極的に行動することが、データがさらに拡散した場合の露出を制限する最も効果的な方法です。