2025年9月、イギリス・ロンドンの高級百貨店「ハロッズ(Harrods)」は、業務を委託していた外部の第三者プロバイダ(外部サービス提供会社)のシステムが不正アクセスを受け、顧客情報約43万名分が流出したことを明らかにした。
流出したのは顧客の氏名、住所、メールアドレス、電話番号などの個人情報が該当していると説明。
なお、クレジットカードなどの支払情報やアカウントのパスワードは、今回の流出には含まれていないとのこと。
同社は不正アクセスを受けた委託先から報告を受けた後、直ちに調査を開始。
英国の情報保護監督機関である情報コミッショナー事務局(ICO)にも報告を行い、影響を受ける可能性のある顧客に通知を送っている。
現時点でハロッズ自身のサーバーが直接侵害された形跡は確認されていない。
ハロッズは「犯罪者とは交渉を行わない」と明言しており、被害拡大を防ぐための監視体制を強化する方針を示している。
また、顧客に対して不審なメールや電話、SMSに注意するよう呼びかけており、今後も当局と連携し、原因究明と再発防止に取り組むとのこと。
セキュリティ専門サイト「BleepingComputer」や「ITPro」によると、攻撃者は委託先の脆弱性を悪用して顧客情報にアクセスしたとみられている。
今回の流出は「企業の委託先(サプライチェーン)」を狙ったサイバー攻撃の一例として注目されており、委託先のセキュリティ管理体制が甘いと今回のように利用者情報が流出するリスクが高まる点が指摘される。
【参考記事】
https://www.itpro.com/security/harrods-rejects-contact-with-hackers-after-430-000-customer-records-stolen-from-third-party-provider
https://www.ft.com/content/014135fe-24eb-423c-8bd8-dc823cc4f3c5
https://www.bbc.com/news/articles/c8d70d912e6o
