1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ハッカー集団・脅威アクターに関する動向
  5. ZARA、サイバー攻撃で約19.7万件の個人情報漏洩の恐れ

ZARA、サイバー攻撃で約19.7万件の個人情報漏洩の恐れ

セキュリティニュース

投稿日時: 更新日時:

Zara、サイバー攻撃で約19.7万件の個人情報漏洩の恐れ

2026年4月22日、恐喝グループShinyHuntersがダークウェブのリークサイトに世界最大のファッションブランドの一つ「ZARA(ザラ)」(zara.com、親会社:インディテックス/Inditex)への攻撃を掲載しました。

添付のスクリーンショットが示すリークサイトの犯行声明には「あなたのBigQueryインスタンスのデータはAnodot.comを通じて侵害された(Your Bigquery instances data was compromised thanks to Anodot.com.)」と明示されており、圧縮データ140GB超をZARAが身代金支払いに応じなかったとして公開しています。

Security Affairsの報道(2026年5月8日)によれば、データ侵害通知サービス「Have I Been Pwned(HIBP)」は漏洩データを分析し、197,400件のユニークメールアドレスのほか、注文ID・製品SKU・地理的情報・購入履歴・サポートチケットが含まれることを確認しました。一方でInditexは「パスワード・決済情報・住所・電話番号・氏名への影響はない」と公表しています。

なお、2026年5月25日前後から、日本の対象ユーザーへメールで漏洩の恐れを通知されています。

この記事のサマリー

  • 2026年4月22日、ShinyHuntersがリークサイトでZARA侵害を公表。圧縮データ140GB超を公開。
  • 攻撃経路:サードパーティ分析プラットフォーム「Anodot」の認証トークンを窃取し、ZARAのGoogle BigQueryインスタンスへ不正アクセス。
  • HIBPが確認した漏洩内容:197,400件のメールアドレス・注文ID・製品SKU・地理的情報・購入履歴・カスタマーサポートチケット(9,500万件相当のサポートチケットを主張)。
  • 漏洩していない情報:氏名・パスワード・決済情報・住所・電話番号(Inditex公式確認)。
  • Inditexは攻撃者をShinyHuntersと名指しせず「元技術プロバイダーへの不正アクセス」とのみ発表。
  • 本件はAnodotを踏み台にした同一手口で複数企業が被害を受けているサプライチェーン型攻撃の一環です。同様の手口でZARA・7-Eleven・Udemyなどが被害に遭っています。

犯行声明

Zara、サイバー攻撃で約19.7万件の個人情報漏洩の恐れ

ダークウェブのリークサイトには

ターゲットは「ZARA(zara.com)」と明記されており、攻撃手法として「Your Bigquery instances data was compromised thanks to Anodot.com.(あなたのBigQueryインスタンスのデータはAnodot.comを通じて侵害された)」とAnodotを経由した侵害であることを明示しています。

交渉決裂の宣言として「The company failed to reach an agreement with us despite our incredible patience, all the chances and offers we made. They don’t care.(十分な忍耐と何度もの提案にもかかわらず、同社は合意に至らなかった。彼らは気にしていない)」と身代金交渉の失敗を記しています。





事案の経緯

日付 内容
2026年4月(上旬推定) ShinyHuntersがAnodotの認証トークンを窃取。ZARAのBigQueryインスタンスへ不正アクセス
2026年4月22日 ShinyHuntersがリークサイトにZARAを掲載。140GB超の圧縮データを公開
2026年4月(下旬) Inditexが不正アクセスを確認。「元技術プロバイダーへの不正アクセス」として当局へ通報開始
2026年4月27日 ShinyHuntersがHackreadの報道に登場し、ZARA・7-Eleven・Udemyへの攻撃を一斉報道
2026年5月(上旬) HIBPがZARAデータセットを分析・登録。197,400件のメールアドレスを確認
2026年5月8日 Security Affairsが詳細を報道。Inditexの公式声明を掲載

攻撃経路の詳細—Anodotを踏み台にしたBigQuery侵害

本件の最大の特徴は、ZARAが直接攻撃されたのではなく、サードパーティのデータ分析サービス「Anodot」の認証情報(トークン)が窃取されたことを起点としたサプライチェーン型攻撃である点です。

Anodotとは

AnodotはAIを活用したビジネスインテリジェンス・異常検知プラットフォームです。大企業がGoogle BigQuery等のデータウェアハウスにAnodotを接続し、売上・在庫・カスタマーサポート等のデータをリアルタイムで分析する用途で広く使われています。この接続には認証トークンが使用されます。

攻撃の連鎖

ShinyHuntersはAnodotのトークンを窃取することで、Anodotに接続されていた複数の大企業のBigQueryインスタンスへのアクセスを一度に得ました。Security Affairsによれば、ShinyHuntersはジャーナリストに対し「盗んだAnodotトークンが複数の大規模組織の分析インフラへのアクセスを同時に可能にした——単一障害点が数十件の別々の侵害に連鎖した」と説明しています。

この手口は過去にSnowflakeのサードパーティインテグレーター「Anodot」絡みの攻撃で報告されたパターンと同一であり、ShinyHuntersの代名詞とも言えるクラウドSaaS連鎖侵害の最新事例となっています。

漏洩データの詳細——HIBPの確認内容

HIBPが分析した漏洩データには以下が含まれています。

確認済みの漏洩項目として、197,400件のユニークメールアドレス(顧客)、製品SKU(購入商品コード)、注文ID、サポートチケットの発生市場(地理的情報)、購入履歴、カスタマーサポートチケット内容が含まれています。

ShinyHuntersが主張するデータ規模として、9,500万件相当のサポートチケットレコードが主張されています(HIBPはこのうち197,400件のユニークメールアドレスを確認)。

漏洩していない情報として、Inditexが公式に確認しているものとして、氏名・パスワード・決済情報(クレジットカード等)・住所・電話番号は含まれていません。

Inditexの公式対応

Inditexは以下のコメントを発表しています。「Inditexはただちにセキュリティプロトコルを適用し、関係当局への通報を開始しました。今回の不正アクセスは、元技術プロバイダーへのセキュリティインシデントに起因しており、国際的に事業を展開する複数の企業に影響を与えています。事業や各種システムには影響がなく、顧客は引き続き安全にサービスを利用できます」。

注目すべき点として、Inditexは被害を受けた「元技術プロバイダー」の名前を明示しておらず、ShinyHuntersを攻撃者として特定・名指しもしていません。この点は多くのセキュリティメディアが指摘しており、ShinyHuntersが公開した犯行声明や漏洩データが証拠として存在するにもかかわらず、企業側の公式発表が攻撃者を曖昧にしているという構図になっています。

ShinyHuntersによる同時多発的な攻撃

本件はShinyHuntersが2026年4月に展開した大規模な恐喝波状攻撃の一部です。同グループは同時期に以下の組織も標的にしています。

Anodot経由のサプライチェーン攻撃として、ZARA(本件)、Vimeo(119,000ユーザー影響)、7-Eleven(60万件超のSalesforceレコード)が含まれます。Salesforce設定ミス経由の攻撃として、Udemy(140万件)、7-Eleven(別経路)が含まれます。その他の主要標的として、Google・Cisco・Rockstar Games・Instructure/Canvas(2億7,500万ユーザー影響)・欧州委員会(350GB)・ADT・Amtrak・Hallmark・Ameriprise Financialが含まれます。

ShinyHuntersは暗号化型ランサムウェアを完全に放棄し、「データ窃取のみ」による恐喝(Pay or Leak)モデルに完全移行しています。これにより技術的インフラへの投資を最小化しながら、同等以上の収益を上げる構造となっています。

関連:ハッカー グループがUdemyへのサイバー攻撃を主張、Salesforceへ不正アクセスか

ZARAをご利用のお客様が今すぐ確認すべき対応

メールアドレスの確認として、Have I Been PwnedでZARAに登録しているメールアドレスが漏洩データに含まれているか確認してください。

フィッシング詐欺への注意として、今回漏洩したデータには購入履歴・注文ID・サポート履歴が含まれます。「ZARAからの注文確認」「サポートチケットへの返信」を装った精巧なフィッシングメールが届く可能性があります。ZARAへのアクセスは必ず公式アプリまたはブックマークから行ってください。



決済情報・パスワードの対応として、Inditexによれば決済情報・パスワードへの影響はありません。ただし、ZARAのアカウントのパスワードを他のサービスと使い回している場合は変更を検討してください。

ファッション業界を狙うサイバー攻撃の増加傾向

Security Affairsは本件に関連して、スペインのファッション競合ブランドMangoが2025年10月にデータ侵害を開示したことも報じています。Mangoの場合はマーケティングベンダーへのハッキングが起点でしたが、本件ZARAと同様にサードパーティベンダー経由のサプライチェーンリスクが被害の根本にあります。

参考情報

関連記事

GitHubが内部リポジトリへの不正アクセスを調査中、顧客情報への影響を示す証拠は確認されずGitHubの内部リポジトリへの不正アクセス、VS Code 拡張機能から侵害される エプスタインに関わる情報漏洩と関連する日本人のまとめ-エプスタイン文書では伊藤 穰一氏、林 千晶氏、田中 美歌氏のアテンド記録もエプスタインの情報漏洩と関連する日本人のまとめ-エプスタイン文書では松本 大氏や伊藤 穰一氏、林 千晶氏のアテンド記録も Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 オンラインコード/JSON 整形ツールに貼り付けた機密情報が世界に晒されている-秘密鍵や個人情報などが大量に漏洩オンラインコード/JSON 整形ツールに貼り付けた機密情報が世界に晒されている-秘密鍵や個人情報など大量に漏洩 Googleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセスGoogleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセス Gmailのアカウント 情報、最大25億人分が漏洩の可能性-パスワード変更を推奨Googleへ不正アクセス、Gmail アカウント 情報の最大25億人分が漏洩の可能性-パスワード変更を推奨 SonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれるSonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれる 中国系ハッカー グループがReact Server Componentsの脆弱性 React2Shell(CVE-2025-55182)を即日悪用-AWSが警告中国系ハッカー グループがReact Server Componentsの脆弱性 React2Shell(CVE-2025-55182)を即日悪用-AWSが警告 LINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩 インシデントLINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩 インシデント