概要

クルーズ船大手カーニバル・コーポレーションは、2026年4月10日に発生したサイバー攻撃によって約599万5,277人分の顧客個人情報が流出したことを正式に認めた。同社は4月14日にシステムへの不正アクセスを検出し、直ちにサードパーティのセキュリティ専門家と連携して対応にあたった。被害者への通知は2026年5月下旬に開始され、対象者には2年間の無料信用監視サービスが提供されている。

今回の攻撃を主張しているのはShinyHuntersと呼ばれるサイバー犯罪グループで、個人識別情報を含む「800万件以上のレコード」とテラバイト規模の内部企業データを取得したと述べている。Have I Been Pwned の分析によれば、流出したデータには氏名・生年月日・メールアドレス・性別・居住地域・ロイヤルティプログラムの詳細が含まれており、特にカーニバル傘下のHolland Americaが運営するMariner Societyロイヤルティプログラムからの情報が多く含まれている。

攻撃手法と被害の詳細

攻撃者はソーシャルエンジニアリングの手口を用いて従業員を騙し、社内ITシステムの一部へのアクセス権を不正取得した。カーニバル社は声明の中で「不正なアクティビティを速やかに遮断し、外部セキュリティ専門家と即座に協力を開始した」と説明しているが、攻撃が検出されるまでの4日間で大規模な情報窃取が行われた可能性が高い。

繰り返されるセキュリティインシデント

今回の侵害はカーニバル・コーポレーションにとって過去6年間で5件目の大規模データ侵害となる。同社は2020年(3月・8月・12月)と2021年(6月)にも重大なセキュリティインシデントを経験しており、大量の顧客個人情報を管理する大企業に対する継続的な脅威と、セキュリティ対策の抜本的な見直しの必要性を改めて浮き彫りにしている。被害者はフィッシング詐欺や身元詐称といった二次被害にも警戒が必要だ。