ケリングが不正アクセスによるサイバー攻撃でグッチ,バレンシアガ,マックイーンの個人情報漏洩の恐れ

セキュリティニュース

投稿日時: 更新日時:

ケリングが不正アクセスでグッチ、バレンシアガ、マックイーンの顧客の個人情報漏洩の恐れ

2025年9月、フランスの高級ブランド大手ケリング(Kering SA)は、同社の一部ブランドが保有する顧客データに不正アクセスがあり、外部に漏洩した可能性があると認めました。

影響が指摘されているのは、グッチ(Gucci)、バレンシアガ(Balenciaga)、アレキサンダー・マックイーン(Alexander McQueen)で、犯行は大規模窃取で知られるハッカーグループ「ShinyHunters」によるものとみられます。

概要とタイムライン

ケリングは6月、第三者が一時的に自社システムへ侵入し、「一部のメゾンの顧客データ」にアクセスした事実を特定しました。このサイバー攻撃にはハッカーグループShinyHuntersが関わっているとされており、

ShinyHunters側は、侵入自体は4月頃だったと主張し、6月初旬から交渉を持ちかけたとされます。

交渉が決裂したのち、同集団はサンプルを公開しつつ被害規模を示す主張を拡散。英BBCや専門ブログの報道を受け、ケリングは事案を正式に認め、所管当局への通知と顧客への個別連絡を進めていると説明しました。

何が不正取得されたのか

各報道と犯行側の提示データによれば、取得されたのは以下の属性が中心です。

  • 氏名

  • メールアドレス

  • 電話番号

  • 住所

  • 店舗での累計購入額(「Total Sales」)

ケリングは「金融情報(クレジットカード番号・銀行口座・公的IDなど)は含まれていない」と繰り返し説明しています。一方で、購入履歴に紐づく連絡先が狙われた可能性が高く、標的型攻撃やなりすまし詐欺の材料になり得る点が懸念されています。

漏洩規模は740万件?5000万件?

ShinyHuntersは「ユニークなメールアドレス7.4百万件」を保有していると主張。

別の報道では「5,000万件」に及ぶとする過大な数字も出ています。ケリングは具体的な件数を明らかにしておらず、確認が取れた範囲から段階的に通知しているとみられます。

サイバー犯罪では、犯行側が交渉を有利に進めるため数字を誇張するのは通例で、最終的な実被害数の確定には当局・第三者機関の精査が必要です。

顧客が今すぐ取るべき対策

  • パスワードの見直し:同じメールアドレス・パスワードの使い回しがある場合は直ちに変更し、主要サービスはすべて異なる強力なパスワードに。

  • 二要素認証の有効化:対応するECアカウント、メール、クラウド、SNSは必ず有効化。

  • フィッシング対策:購入額や会員情報を引用して支払い・認証を求めるメール/SMSは要注意。リンクは踏まず、公式アプリやブックマークからログインして確認してください。

  • 迷惑メールの報告と監視:不審メールは通報し、今後しばらくの間は身に覚えのない発送通知・再配達通知・関税請求などに注意を。

業界全体に広がる波及

今年は高級・小売セクターへの攻撃が相次いでおり、リシュモンのカルティエ、LVMHの一部ブランド(香港の当局発表ではルイ・ヴィトンで約41.9万件)などでもインシデントが報告されています。EC/会員基盤、CRM、決済・フルフィルメント、グローバルな委託先まで広がるサプライチェーンが攻撃面を拡大させており、ゼロトラスト設計や委託先監査の強化が喫緊の課題です。

関連:ルイ・ヴィトン(Louis Vuitton)で複数の国で大規模な個人情報漏洩-英国・日本・韓国・トルコなど

参照

Hackers steal client data from Kering’s Gucci, Balenciaga and McQueen, BBC says

Kering confirms breach after hackers steal Gucci, Balenciaga and McQueen data

Gucci, Balenciaga, McQueen confirm breach, Shiny Hunters claim 7.4M customers’ data stolen