概要

大手ランジェリーブランドのVictoria’s Secretは2026年5月23〜24日にかけてサイバーセキュリティインシデントが発生し、ECサイトと一部店舗サービスを緊急停止した。同社は「セキュリティインシデントを確認し、対応措置を講じている」と声明を発表し、外部セキュリティ専門家を起用して調査を進めていることを明らかにした。最高経営責任者(CEO)のHillary Super氏は社内向けに「復旧には時間がかかる」と伝えており、完全な業務正常化には相応の期間を要する見通しだ。なお、約70か国に展開する1,380店舗での実店舗営業は継続されており、物理的な販売活動への直接影響は限定的とみられる。

Scattered Spiderの関与疑惑と攻撃の手口

サイバーセキュリティ専門家の間では、今回の攻撃に脅威アクター「Scattered Spider(別名:UNC3944)」が関与しているとの見方が広がっている。Google Threat Intelligenceのアナリスト、John Hultquist氏はこのグループについて「攻撃的で創造的であり、成熟したセキュリティプログラムを持つ企業に対しても特に効果的に侵入を果たす」と評している。Scattered Spiderはソーシャルエンジニアリングやフィッシングを駆使して内部ネットワークへのアクセスを確立した後、ランサムウェアや恐喝を組み合わせた手口で被害者に圧力をかける手法が特徴だ。グループは近年、英国の小売業者への攻撃から米国の大手チェーンへと標的を移しており、FBIは主要小売企業に対して同グループの活動活発化を警告するインテリジェンス・ブリーフィングを実施している。

相次ぐ小売業へのサイバー攻撃

今回のVictoria’s Secret攻撃は、大手小売・ブランド企業を標的にした一連のインシデントの一部として位置づけられる。直近ではDiorが顧客情報に関するデータ侵害を公表し、Adidasもカスタマーサービスプロバイダーを経由した侵害を発表した。英国でもHarrods、Co-op、Marks & Spencerがそれぞれ攻撃を受けており、Marks & Spencerの損害額は最大3億ポンド(約4億200万ドル)に上る可能性が報じられている。また、Scattered Spiderは過去にカジノ大手のMGM ResortsやCaesars Entertainmentへの攻撃にも関与したとされており、インフラ規模の大きい企業を集中的に狙う傾向がある。

業績への影響と今後の見通し

Victoria’s Secretの2024年通期の純売上高は62億ドルに達し、約3万人の従業員を擁する大規模企業だが、今回のECサイト停止により第2四半期の営業利益に約1,000万ドルの影響が見込まれると同社は発表した。復旧作業の長期化が懸念される中、顧客データの流出有無や詳細な攻撃ベクターについては現時点では明らかにされていない。セキュリティ専門家は小売業界全体に対してサプライチェーンリスクの見直しと多要素認証の徹底を呼びかけており、今後も詳細な調査結果の公表が注目される。