出前アプリに『届かない』と問い合わせただけで、名前・住所・電話番号が盗まれていた

『届かない』と聞いただけで漏れたもの

2026年1月15日、米フードデリバリー大手Grubhubが『不正な第三者がシステムからデータをダウンロードした』ことを確認しました。BleepingComputerの報道によると、ハッカー集団ShinyHuntersが犯行を主張し、暗号通貨での身代金を要求しています。

侵害されたのは、顧客サポートに使われているZendesk(チャットサポート基盤)とSalesforce(顧客管理基盤)のデータです。つまり、サポートに問い合わせたことがある顧客のデータが対象です。

• 氏名、メールアドレス、電話番号
• 配達先住所
• サポートとの会話内容の全記録
• 一部の学食利用者のカード情報の下4桁
• 旧システムのハッシュ化パスワード

サポート会話に何が含まれているか

サポートチャットの会話記録は、単なる『問い合わせのやり取り』ではありません。顧客が本人確認のために自ら提供した追加情報が含まれています。

• 生年月日(本人確認のために聞かれる場合がある)
• セキュリティの秘密の質問への回答
• 注文や返金に関する詳細な経緯
• アカウントの問題について記述した個人的な状況説明

サポートに問い合わせるとき、私たちは『問題を解決するため』に自分から個人情報を差し出している。その会話が丸ごと盗まれれば、攻撃者はあなたのことを深く知ることになる。

これらの情報は、高度にパーソナライズされたフィッシング攻撃の材料になります。『先日のご注文の返金処理について確認がございます』というメールが実際のやり取りに基づいていたら、見抜くのは極めて困難です。

攻撃はサプライチェーン経由だった

この侵害は、Grubhub自体のセキュリティが突破されたのではなく、別のサービス(Salesloft Drift)から盗まれた認証情報が使われたと報じられています。つまり、Grubhubとは別のところで起きた漏えいが、Grubhubの顧客データの漏えいにつながった『連鎖型』の攻撃です。

この構造は、Webサイト運営者にとって重要な教訓です。自社のセキュリティが万全でも、連携しているサードパーティのサポートツール、CRM、チャットプラットフォームのどれかが侵害されれば、自社の顧客データが漏れます。

サイト運営者が確認すべきこと

• カスタマーサポートツール(Zendesk、Intercom等)の認証設定がMFA対応か確認する
• サポートプラットフォームに保存されている顧客データの範囲を把握する
• サードパーティサービスとの連携で共有されている認証情報を棚卸しする
• セキュリティヘッダー(CSP、HSTS、X-Frame-Options等)が設定されているか確認する
• SSL/TLS設定が最新の推奨構成になっているか確認する
• 不要になった外部サービス連携を解除する

まず確認すべきこと

サードパーティツールのセキュリティは外から見えにくいですが、自社サイトの基本設定(セキュリティヘッダー、SSL/TLS)は今すぐ確認できます。まず外から見える弱点を潰すことが、攻撃者の標的リストから外れる最短ルートです。

出典

BleepingComputer: https://www.bleepingcomputer.com/news/security/grubhub-confirms-hackers-stole-data-in-recent-security-breach/

Fox News / CyberGuy: https://www.foxnews.com/tech/grubhub-confirms-data-breach-amid-extortion-claims

TechRadar: https://www.techradar.com/pro/security/grubhub-says-hackers-stole-company-data-in-recent-breach-heres-what-we-know

Grubhub公式声明: https://about.grubhub.com/news/our-response-to-a-third-party-vendor-incident/