概要
イーストマン・コダックは2026年6月17日、同社のデータが不正アクセスを受けたことを正式に認めた。「権限を持たない第三者が、限定的な量の社内データに一時的な不正アクセスを行った」と声明で述べており、現在外部のサイバーセキュリティ専門家を起用して調査を進めるとともに、法執行機関とも連携している。コダックは「システムや事業運営への脅威はない」としているが、220万件以上の顧客個人情報(PII)および社内データが窃取されたと主張するサイバー犯罪グループShinyHuntersが公開を示唆していたことで、このデータ侵害が広く注目を集めた。
ShinyHuntersの手口と要求
ShinyHuntersは、ダークウェブ上に独自のリークサイトを持つ恐喝専門のサイバー犯罪組織だ。2026年6月15日にコダックのデータを盗んだと主張してリークサイトに掲載し、6月18日を期限として「それまでにコダックが連絡を取らなければ盗んだデータを公開する」と脅迫した。同グループは、ソーシャルエンジニアリングやビッシング(音声フィッシング)によって従業員の認証情報を詐取した上でデータを窃取するほか、サプライチェーン攻撃にゼロデイ脆弱性を悪用するなど多様な手口を駆使することで知られる。今回のコダックへの侵入経路については調査中であり、特定の手法は明らかにされていない。
ShinyHuntersの過去の攻撃歴
ShinyHuntersは2026年だけでも複数の大規模侵害に関与している。教育プラットフォームのInstructure Canvas(9,000以上の機関に影響)、通信大手のCharter Communications(4,200万件のレコード)、Oracle PeopleSoftのユーザー企業群(100社以上)などが標的となっており、同グループの攻撃能力は業種を問わず広範に及ぶ。それ以前にも、SalesforceやSnowflakeの顧客企業数百社を標的とした攻撃が確認されており、組織化された高度な脅威アクターとして認識されている。
データ恐喝の現代的トレンドと企業への示唆
今回の事例は、ランサムウェアによるシステム暗号化から、データ窃取と公開脅迫を組み合わせた「二重恐喝」モデルへとサイバー攻撃の主流が移行しつつあることを示している。攻撃者はシステムを停止させることなくデータのみを抜き出し、公開期限を設けることで被害企業に圧力をかける手法を採る。コダックはシステムや業務への影響はないと強調しているが、影響を受けた顧客への通知と補償対応が今後の焦点となる。企業側には、従業員を狙ったソーシャルエンジニアリング対策や、サプライチェーンを含む広範なアクセス管理の強化が改めて求められる。