拡大する小売業界のサイバーセキュリティ危機：最近の侵害から何を学ぶか

壊滅的なサイバー攻撃の波が主要な小売業者を襲い、ますますデジタル化が進むショッピングエコシステムにおけるサイバーセキュリティの脆弱な状態を露呈させました。Adidas から英国の小売大手 Harrods、Co-op、Marks & Spencer、さらには Etsy 関連や TikTok ショップの大規模な顧客情報漏洩に至るまで、これらの事件は即座の対応が求められる重大な脆弱性を明らかにしています。

最近の侵害状況

2025年3月、Etsy は TikTok Shop、Poshmark、Embroly などのプラットフォームと共に、160万件以上の顧客記録が関わる大規模なデータ漏洩事件に見舞われました。この侵害は、ベトナムを拠点とする刺繍販売業者に関連する設定ミスの Microsoft Azure ストレージコンテナに起因しており、その不十分なクラウドセキュリティ対策が意図せず機密性の高い顧客情報を公開してしまいました。漏洩したデータには、氏名、住所、メールアドレス、詳細な注文確認情報が含まれており、フィッシング、ソーシャルエンジニアリング、その他のサイバー脅威にとって絶好の機会を生み出しています。

その後まもなく、2025年4月から5月の間に、英国の小売業界はScattered Spiderグループによる協調的なサイバー攻撃を受けました。これは、2023年のMGMリゾーツの侵害に関与したのと同じ脅威アクターです。この攻撃は3つの主要な小売業者に影響を与えました。マークス＆スペンサーは最も大きな被害を受け、広範囲にわたるオンライン販売の中断、非接触型決済の障害、顧客データ漏洩に直面し、推定3億ポンドの経済的損失を被りました。コープは2,300以上の店舗で大規模なシステム障害を経験し、供給不足と配送遅延を引き起こしました。一方、ハロッズは本格的な侵害を回避しましたが、企業ネットワーク全体でインターネットアクセスを制限する予防措置を講じました。

これとは別の、しかし関連するインシデントとして、アディダスは侵害されたサードパーティのサービスプロバイダーを介した顧客連絡先データへの不正アクセスを報告しました。金融データは侵害されなかったものの、顧客の名前、メールアドレス、電話番号が漏洩し、ベンダーとの関係やサプライチェーンの脆弱性に関連する継続的なサイバーセキュリティリスクを浮き彫りにしました。

なぜ小売業者は格好の標的となるのか

現在、世界人口の33%がオンラインで買い物をしているため、小売業者はサイバー犯罪者にとって魅力的な標的となっています。彼らは膨大な量の機密性の高い顧客データを保有しており、短時間の業務中断が莫大な損失につながる高速な環境で事業を運営しています。

英国市場はこの脆弱性を典型的に示しています。強力なデジタル導入、密度の高い小売エコシステム、厳格なGDPR規制が相まって、攻撃が成功した場合に最大の評判と規制上の損害をもたらし、恐喝の手段となる「完璧な嵐」を作り出しています。

現在の経済的圧力と地政学的緊張は脅威アクターを大胆にさせ、彼らは過負荷なセキュリティチームと老朽化したインフラをますます巧妙な手口で悪用しています。

今後の道筋：受動的なセキュリティから能動的なセキュリティへ

これらの侵害には、サードパーティの脆弱性、不十分なクラウドセキュリティ、受動的な防御戦略といった共通点があります。解決策には、アプローチの根本的な転換が必要です。

小売業者は、機密情報がどこにあり、誰がそれにアクセスできるかを正確に把握することを優先するデータ中心のセキュリティ戦略を導入する必要があります。この基盤は以下をサポートするべきです。

• Zero Trust Architecture: あらゆるユーザーやシステムに対する暗黙の信頼を排除する
• 包括的なデータ保護: あらゆる接点と移行段階でデータを保護する
• リアルタイム監視: 損害が発生した後ではなく、脅威が出現した時点で検出する
• 自動応答: 人間の能力が許すよりも速くインシデントに対応する
• 強固なベンダー管理: サプライチェーン全体にセキュリティ基準を拡大する

小売業界のサイバーセキュリティ危機は減速するどころか、加速しています。これらのインシデントを、システム的な警告ではなく孤立した出来事として扱う組織は、自らの危険を冒しています。受動的なセキュリティの時代は終わり、能動的なレジリエンスが今やビジネス上の必須事項となっています。