概要
米国最大手のホームセキュリティ企業ADT(顧客数600万人超)が、ハッカーグループShinyHuntersによるサイバー攻撃を受け、約550万人分の個人情報が流出した。ADTは2026年4月20日に侵害を検知し、Have I Been Pwned(HIBP)が4月27日に被害規模を5.5百万件と確認した。ShinyHuntersは当初10百万件以上のレコードを窃取したと主張しており、恐喝交渉が決裂した後、11GBのデータをダークウェブ上で公開した。
攻撃手口:音声フィッシングによるSSO突破
ShinyHuntersは従業員へのボイスフィッシング(ビッシング)攻撃によって、ADT従業員のOkta SSOアカウントを侵害したとされる。このSSO経由でSalesforceインスタンスへのアクセスを取得し、顧客データを外部に持ち出した。同グループは昨年から従業員のSSOアカウントを標的とした大規模なビッシングキャンペーンを継続的に展開しており、今回もその手口が踏襲された形だ。
漏洩したデータの内容
ADTの公式声明によると、漏洩情報は「氏名・電話番号・住所」が中心であり、一部のケースでは生年月日や社会保障番号(SSN)の下4桁、もしくは税務IDが含まれていたという。決済情報や顧客宅のセキュリティシステムに関するデータは一切含まれていないとしており、物理的なセキュリティへの直接的な影響はないとADT側は説明している。
繰り返す侵害と背景
ADTにとって今回は3度目の重大なデータ侵害となる。2024年8月と10月にも従業員・顧客情報が流出する事案が発生しており、セキュリティ体制の脆弱性が繰り返し露呈している。ビッシングやSSOを標的とした攻撃は近年急増しており、多要素認証の強化やフィッシング耐性のある認証方式への移行が業界全体の急務となっている。
影響と今後の対応
550万人超の被害者は、今後フィッシング詐欺やなりすまし犯罪のリスクが高まる。ADTは影響を受けたとみられるユーザーへの通知を進めているとされるが、具体的な補償策や再発防止措置の詳細は明らかになっていない。漏洩データはすでにダークウェブ上で流通しているため、対象者は不審な連絡に注意するとともに、個人情報の悪用がないかモニタリングすることが推奨される。