米国のアウトドアブランド「The North Face(ザ・ノース・フェイス)」を運営するVF Outdoor社は、2025年4月23日に同社公式オンラインストア(thenorthface.com)に対する不正アクセスが発生し、一部顧客情報が閲覧された可能性があることを発表しました。同社は影響のあった顧客に対して個別に通知を行い、パスワードの再設定を呼びかけています。
外部からの「クレデンシャル・スタッフィング攻撃」
今回の不正アクセスは、「クレデンシャル・スタッフィング(Credential Stuffing)」と呼ばれる攻撃手法によるもので、他のサイトやサービスで流出した認証情報(メールアドレスとパスワード)を流用してログインを試行するものです。
The North Faceの調査によると、攻撃者は外部で流出したログイン情報を使って、同社サイト上の顧客アカウントへの不正アクセスを試み、一部のアカウントへのアクセスに成功したとみられます。
なお、このインシデントについて、米国の個人情報保護法上の通知義務が発生する範囲ではないとしながらも、慎重な対応として自主的に顧客に通知を行ったと説明しています。
閲覧された可能性のある情報
今回の不正アクセスにより、攻撃者が閲覧できた可能性のある情報は以下のとおりです:
-
氏名
-
メールアドレス
-
電話番号(登録済みの場合)
-
生年月日(登録済みの場合)
-
商品購入履歴
-
配送先住所
-
アカウント設定情報(嗜好など)
クレジットカード情報や銀行口座情報については漏洩していないとしています。同社はカード情報を保持せず、決済に利用されるのは「トークン」と呼ばれる識別子のみであり、これは第三者が悪用できるものではないとのことです。
現在は、影響を受けたとみられるユーザーに対して個別の連絡を行い、パスワードの再設定を呼びかけています。
加えて、顧客に対して以下の対策を推奨しています:
-
他サイトと同じパスワードを使用しないこと
-
推測されにくい強固なパスワードの設定
-
不審なメールやSMSへの注意(フィッシング詐欺)
-
定期的なクレジットレポートや口座の確認
今回のThe North Faceに対する攻撃は、企業側の脆弱性が直接狙われたものではなく、利用者側の「同一パスワード使い回し」を突いた間接的な攻撃である点が注目されます。
セキュリティ意識が高まるなかで、「二段階認証の導入」や「パスワード管理ツールの活用」など、日常的なセキュリティ対策の重要性が改めて問われています。今回のような事案をきっかけに、各企業はもちろん、利用者一人ひとりのセキュリティリテラシーの向上が求められます。
参照
関連記事
ClickFix(クリックフィックス)の実像をMicrosoftが発表-新手のサイバー攻撃の実態とは
ハッカーがPayPalから1,580万件の資格情報の窃取を主張-実態は“インフォステーラーからの寄せ集め”か
北朝鮮 偽装 IT労働者によるAI技術の悪用 事例
CiscoがNX-OSのゼロデイ 脆弱性を修正(CVE-2024-20399)
Microsoft SharePointの深刻な脆弱性に対する攻撃が活発化 PoCも公開(CVE-2025-53770,CVE-2025-53771,CVE-2025-49704,CVE-2025-49706)
西友、ブルーヨンダーへのサイバー攻撃で約3万人の従業員の個人情報が漏洩-ランサムウェア グループが犯行声明 発表済み
SonicWall、9月の不正アクセスは国家支援型 ハッカーによるサイバー攻撃
ハッカーが愛知県のパンのトラから不正アクセスした個人情報の販売を主張-2024年のサイバー攻撃で漏洩した個人情報か
マツダ、ハッカー グループ Clop(Cl0p)のサイバー攻撃は影響なし-Oracle EBSの脆弱性を悪用か
