何が起きたのか

2025年11月、ランサムウェア集団Everestが『Under Armourのシステムに侵入し343GBのデータを窃取した』と犯行声明を出しました。Under Armourに身代金を要求しましたが、交渉は決裂。2026年1月18日、ハッカーフォーラムに顧客データが投稿されました。

漏えいデータはHave I Been Pwnedに登録され、7200万人にメール通知が送られました。TechCrunchが投稿されたデータのサンプルを独自に検証し、数百万件の顧客購買記録と従業員メールアドレスが含まれていることを確認しています。

漏れたのは『何を買ったか』まで

  • メールアドレス:7270万件
  • 氏名(名前)
  • 生年月日
  • 性別
  • 居住地域(郵便番号ベース)
  • 購買履歴(商品、店舗、日時)
  • 従業員のメールアドレス

Under Armourは『パスワードや決済情報が漏えいした証拠はない』と発表しています。一見すると安心材料に思えますが、セキュリティ専門家の見方は違います。

パスワードがなくても、これは攻撃者にとってダイナマイトだ。7200万件のメールアドレスに生年月日と購買履歴が紐づいている。これだけでフィッシング、詐欺、アカウント回復攻撃のすべてが可能になる。

『何を買ったか』が武器になる理由

従来のフィッシングメールは『お客様のアカウントに問題があります』のような一般的な文面でした。しかし購買履歴が漏れると、攻撃の精度が劇的に変わります。

  • 『先日ご購入いただいたUA HOVRランニングシューズの配送に問題があります』
  • 『Under Armour会員ポイント5000ptの有効期限が迫っています』
  • 『お住まいの地域の店舗限定セールのお知らせです』

これらが実際の購買履歴と居住地域に基づいていれば、受け取った人が正規の連絡と区別するのは極めて困難です。2026年のAIツールを使えば、7200万人分のパーソナライズされたフィッシングメールを自動生成することも技術的に可能です。

専門家が『購買データと個人情報の組み合わせは、ブランドを偽装した詐欺メール、返金詐欺、ロイヤルティポイント窃取、配送業者の偽装に使える』と指摘している通り、パスワードが漏れていなくても被害は発生します。

ECサイトが抱える構造的リスク

Under Armour事件は、ECサイトが保有する『購買データ』の価値を攻撃者に証明しました。クレジットカード番号だけがターゲットではないのです。

ECサイトを運営している場合、以下のリスクが常に存在します。

  • 顧客データベースが攻撃者にとって高価値のターゲットである
  • セキュリティヘッダーの未設定はクリックジャッキングやXSSの入口になる
  • 古いSSL/TLS設定は通信傍受のリスクを残す
  • 管理画面の外部公開は直接的な侵入経路になる
  • CMSやプラグインの未更新は既知の脆弱性を放置することと同じ
  • エラーページがサーバ内部情報を露出すると攻撃者に偵察材料を与える

ランサムウェア集団の戦術変化

かつてランサムウェアはデータを暗号化して身代金を要求する攻撃でした。しかし現在は『データを盗んで公開すると脅す』二重・三重恐喝が主流です。Under Armour事件ではEverestが身代金を要求し、不払いを受けてデータを公開しました。

つまりバックアップがあっても、データが盗まれた時点で被害は発生します。防御の焦点は『復旧できるか』ではなく『そもそも侵入させないか』に移っています。サイトのセキュリティ設定を外部視点で確認することが、最初の防衛ラインです。

まず確認すべきこと

ECサイトを運営していなくても、自社サイトが攻撃者にとって『入りやすいか』を確認する価値はあります。セキュリティヘッダー、SSL/TLS設定、管理画面の公開状態。この3点を外部視点でチェックするだけで、攻撃者の『簡単な標的リスト』から外れることができます。

Web検診では、セキュリティヘッダー、SSL/TLS設定、公開情報の露出を含む無料のサイト診断を提供しています。

出典

TechCrunch: https://techcrunch.com/2026/01/22/under-armour-says-its-aware-of-data-breach-claims-after-72m-customer-records-were-posted-online/

Have I Been Pwned: https://haveibeenpwned.com/breach/UnderArmour

Fox News / CyberGuy: https://www.foxnews.com/tech/under-armour-data-breach-claims-trigger-alerts-millions-users

Cybernews: https://cybernews.com/security/under-armour-hackers-leak-millions-user-emails/