国際的オークションハウスのサザビーズは、自社システムが外部からの不正アクセスを受け、機微情報を含むデータが持ち出された可能性があると明らかにしました。インシデントは7月24日に検知され、9月24日に流出範囲の特定に至ったとしており、2025年10月15日付で関係者への書面通知を開始しています。
概要
同社が米メイン州司法長官に提出した届出によりますと、侵害の類型は「外部からのシステム侵害(ハッキング)」で、通知対象となったメイン州居住者は2名でした(全体の影響人数は非公表)。通知には、トランスユニオンによる12か月間のクレジット監視および本人特定情報の回復支援が含まれています。
当初、一部報道では「顧客情報」への影響が示唆されていましたが、その後サザビーズは声明で「影響を受けたのは従業員情報であり、顧客は含まれない」と説明しています。社内調査は外部のデータ保護・インシデント対応の専門家や法執行機関と連携して実施され、同社は「システムとデータの保護に引き続き全力で取り組む」としています。
報道および届出の内容によれば、取得された可能性のある情報には氏名のほか、社会保障番号(SSN)や金融口座情報などの財務関連情報が含まれる場合があります。具体的な対象者数や米国外での影響範囲については、現時点で公表されていません。
サザビーズは美術品・高額資産の競売に加え、資産担保証券化に関連する金融サービスも手がけており、取扱額は年間で数十億ドル規模に上ります。過去にはウェブサイトにおける決済情報窃取型マルウェア(スキミング)や、サプライチェーン経由の不正コード混入といったインシデントも報告されています。
今回の事案では、該当者に対して身元保護と信用監視の無償提供(12か月)が案内されており、対象者は期限内の登録が求められます。同社は影響を受けたすべての個人に、適切な法的要件に基づいて通知を進めるとしています。
参照
Auction giant Sotheby’s says data breach exposed financial information








