壊滅的なサイバー攻撃の波が大手小売業者を襲い、デジタル化が進むショッピング・エコシステムにおけるサイバーセキュリティの脆弱な状態が露呈している。アディダスから英国の小売大手ハロッズ、生協、マークス&スペンサー、さらにはEtsy関連やTikTokショップの大規模な顧客流出事件まで、これらの事件は早急な対応が求められる重大な脆弱性を露呈している。
最近の情報漏洩の状況
2025年3月、EtsyはTikTok Shop、Poshmark、Embrolyなどのプラットフォームとともに、160万件以上の顧客記録を含む重大なデータ流出事件を経験した。この情報漏えいは、ベトナムに拠点を置く刺繍販売業者にリンクされたMicrosoft Azureストレージ・コンテナの設定ミスに端を発し、そのクラウド・セキュリティの不備により、機密性の高い顧客情報が不注意にも一般公開されてしまった。暴露されたデータには、氏名、住所、電子メールアドレス、詳細な注文確認などが含まれ、フィッシングやソーシャル・エンジニアリング、その他のサイバー脅威の絶好の機会を作り出していた。
その直後、2025年4月から5月にかけて、英国の小売業界は、2023年のMGMリゾーツの情報漏えいの背後にいた脅威者と同じScattered Spiderグループによる組織的なサイバー攻撃を受けた。この攻撃は3つの大手小売企業に影響を与えた。最も被害を受けたのはマークス&スペンサーで、オンライン販売の中断、非接触型決済の失敗、顧客データの流出が広範囲に及び、推定3億ポンドの財務的影響が出た。Co-opは2,300以上の店舗で大規模なシステム停止に見舞われ、供給不足と配送遅延につながった。一方、ハロッズは本格的な情報漏洩は免れたものの、企業ネットワーク全体のインターネット・アクセスを制限するなどの予防措置を講じた。
これとは別に、関連するインシデントとして、アディダスは、侵害された第三者サービス・プロバイダーを経由した顧客連絡先データへの不正アクセスを報告した。財務データの流出はなかったものの、顧客名、電子メールアドレス、電話番号が流出し、ベンダーとの関係やサプライチェーンの脆弱性に関連するサイバーセキュリティ・リスクが継続的に存在していることが明らかになった。
小売業が狙われる理由
世界人口の33%がオンラインで買い物をするようになった現在、小売業者はサイバー犯罪者にとって格好の標的となっている。短時間の混乱が莫大な損失につながるようなスピードの速い環境で事業を展開しながら、膨大な量の機密顧客データを保有しているのだ。
英国市場はこの脆弱性を例証している。強力なデジタル導入、緻密な小売エコシステム、厳格なGDPR規制は、攻撃が成功すると最大の評判と規制上のダメージを与え、恐喝のためのてこを提供する完璧な嵐を作り出す。
現在の経済的圧力と地政学的緊張は、脅威行為者を増長させ、彼らは伸び悩むセキュリティチームと老朽化したインフラをますます巧妙に利用している。
進むべき道リアクティブ・セキュリティからプロアクティブ・セキュリティへ
これらの侵害には、サードパーティの脆弱性、不十分なクラウドセキュリティ、消極的な防御戦略といった共通点がある。解決策には、アプローチの根本的な転換が必要だ。
小売企業は、機密情報の所在とアクセス可能者を正確に把握することを最優先とした、データ中心のセキュリティ戦略を導入する必要があります。この基盤は、以下をサポートするものでなければなりません:
- ゼロ・トラスト・アーキテクチャー:あらゆるユーザーやシステムに対する暗黙の信頼を排除する
- 包括的なデータ保護:あらゆるタッチポイントとトランジションでデータを保護
- リアルタイム・モニタリング:被害が発生した後ではなく、脅威が出現した時点で検知する
- 自動応答:インシデントに人間の能力を超えるスピードで対応
- 強固なベンダー管理:サプライチェーン全体にセキュリティ基準を拡大
小売業のサイバーセキュリティ危機は減速しているのではなく、加速している。こうしたインシデントを組織的な警告ではなく、孤立した出来事として扱う組織は、自らの危険を顧みない。プロアクティブなレジリエンスが今やビジネスの必須条件なのだ。