マークス＆スペンサー、サイバー攻撃を受け顧客データが漏洩

イギリスの小売業者マークス＆スペンサー（M&S）は、顧客の個人データが漏洩したサイバー攻撃を受け、顧客アカウントの保護に向けた緊急措置を講じました。**

M&Sは火曜日、3週間前に顧客情報が漏洩したサイバー攻撃の標的となったことを確認し、影響を受けたユーザーのパスワードをリセットすることを発表しました。

M&Sのウェブサイトに掲載されたFAQページによると、漏洩した個人情報には、名前、メールアドレス、住所、電話番号、生年月日、オンライン注文履歴、家庭情報、オンライン購入に使用された「マスクされた」支払いカードの詳細などの連絡先情報が含まれています。

さらに、以前にM&SのクレジットカードやSparks Payを持っていた可能性のある個人の顧客参照番号（クレジットカード番号や支払い詳細ではありません）も漏洩した可能性があると付け加えました。

しかし、同社は、使用可能なカードや支払い詳細、またはアカウントのパスワードなどの財務情報は安全であり、漏洩していないと保証しました。さらに、漏洩したデータが共有された証拠はありません。

M&Sのコメント

「本日、私たちは顧客に対し、事件の巧妙な性質により、一部の個人顧客データが取得されたことをお知らせしています。重要なことに、データには使用可能な支払いまたはカードの詳細は含まれておらず、私たちのシステムには保存されていません。また、アカウントのパスワードも含まれていません。

このデータが共有された証拠はありません」と、M&Sは火曜日の朝にロンドン証券取引所に投稿した書類で述べました。

サイバー攻撃の発見後、M&Sは直ちにシステムを保護するための措置を講じ、主要なサイバーセキュリティ専門家を雇いました。

また、関連する政府機関や法執行機関に事件を報告し、事件の調査に密接に協力しています。

その間、同社はアクティブなM&Sアカウントを持つユーザーのパスワードをリセットしました。次回、ユーザーがウェブサイトやアプリでM&S.comアカウントに訪問またはログインすると、パスワードをリセットするよう促されます。

しかし、M&Sは顧客に対し、M&Sを装った詐欺的なメール、電話、またはテキストメッセージに警戒するよう警告しており、そのような予期しない通信には注意を払い、個人情報やパスワードを誰とも共有しないように促しています。

「私たちは、あなたやすべての顧客にご迷惑をおかけしたことを心よりお詫び申し上げます。私たちと一緒にお買い物をしていただき、サポートしていただき、心から感謝しています。私たちはそれを当たり前とは思っていません」と、同社はサイバーアップデートで述べました。

M&Sは、攻撃の背後に誰がいるのか、ハッカーがどのようにアクセスしたのか、またどれだけの顧客が影響を受けたのかを明らかにしていません。その間、自分の情報が悪用された可能性があると考える顧客は、直ちにパスワードを変更することをお勧めします。

顧客がオンラインで安全を保つために、M&Sはユーザーに対し、リンクをクリックするよう求めるメールやテキストメッセージに注意するよう求めています。強力でユニークなパスワードを使用し、可能な場合は二要素認証を有効にし、複数のアカウントで同じパスワードを使用しないようにし、重要なセキュリティアップデートを受け取るために電話やデバイスのソフトウェアを更新してください。さらに、顧客は国家サイバーセキュリティセンターのウェブサイト：www.ncsc.gov.uk/guidance/data-breachesを訪れて、さらなるガイダンスを得ることができます。

M&Sは、調査が進むにつれて更新を続けると述べています。