データ侵害観測所
中小企業の5社に4社が、最近データ侵害の被害に遭っています。 そして、たった1回のインシデントで中小企業は100万ドル以上の損害を被る可能性があります。 それでは、なぜデータ侵害のニュースをあまり耳にしないのでしょうか?
Protonは、侵害が報告されるのを待っているわけではありません。 その代わりに、私たちはダークウェブにアクセスし、リアルタイムで漏洩防止を追跡します。 お客様が影響を受けているかどうかを確認するには以下をクリックしてください。また、リスクを軽減するために、ビジネス向けパスワードマネージャーをご利用ください。
Raaga
何が起きたのか?
2025年12月に発生したとされるインシデントの後、インドの音楽ストリーミングサービスRaagaの1,000万件以上の記録を含むデータセットがダークウェブ上に公開されました。 侵害されたデータには、名前、生年月日、電話番号、メールアドレス、ユーザー名、およびパスワードが含まれています。 2026年1月、同社は侵害を公式に確認(新しいウィンドウ)し、不正アクセスからアカウントを保護するため、ユーザーにパスワードを変更し、2要素認証を有効にするよう推奨しました。
Canada Goose
何が起きたのか?
2026年2月、カナダの高級アパレルブランドCanada Gooseは、約100万件のお客様記録のデータ流出にリンクされました。 公式声明(新しいウィンドウ)において、同社はデータが「過去のお客様取引に関連していると思われる」ことを確認し、このインシデントは2025年8月にサードパーティで発生した侵害に起因すると述べました。 漏洩防止されたデータには、お客様の名前、物理アドレス、電話番号、メールアドレスが含まれていました。
Association Nationale des Premiers Secours (ANPS)
何が起きたのか?
フランスの応急処置非営利組織であるAssociation Nationale des Premiers Secours(ANPS)がサイバー攻撃の標的となり、その結果30万件を超える記録の漏洩防止が発生しました。 流出したデータには、名前、生年月日、アドレス、電話番号、メールアドレス、IBANなど、機密性の高い個人情報および財務情報が含まれていました。 ANPSは、漏洩防止がレガシーシステムに起因していることを確認(新しいウィンドウ)し、フランスのデータ保護機関(CNIL)に通知したと述べました。
Substack
何が起きたのか?
デジタル出版プラットフォームのSubstackは、大規模なAPIスクレイピングインシデントの影響を受け、66万人以上のユーザーの連絡先情報が流出しました。 このインシデントは2025年10月に発生しましたが、「w1kkid」として知られるハッカーがSubstackのユーザーデータであると主張するものを漏洩防止した数日後の2026年2月6日に公式に開示されました(新しいウィンドウ)。 ユーザーに送信された通知の中で、同社はパスワード、支払いカード番号、その他の財務情報は流出していないと述べました。
Bumble
何が起きたのか?
2026年1月、出会い系アプリのBumbleは、フィッシング攻撃により請負業者のアカウントが侵害され、攻撃者に社内ネットワークへの不正なアクセスが許可されたことを確認(新しいウィンドウ)しました。 サイバー犯罪グループのShinyHuntersが犯行を声明し、会社の文書や従業員情報を含む30GBのデータを持ち出したとされています。 Bumbleはメンバーデータベース、ユーザーアカウント、およびプライベートなメッセージは影響を受けていないと述べましたが、2026年2月にファイルされた集団訴訟(新しいウィンドウ)は、「防ぐことができた」攻撃において幅広いユーザーの個人識別情報(PII)が流出したと主張しています。
Match グループ
何が起きたのか?
2026年1月、TinderとHingeの親会社であるMatch グループは、「限られた量のユーザーデータ」が関与するサイバーセキュリティインシデントを確認(新しいウィンドウ)し、「ユーザーの認証情報、財務情報、またはプライベートな通信がアクセスされた形跡はない」と述べました。 この攻撃は、同社のユーザー情報プロバイダーであるOktaを標的としたShinyHuntersの音声フィッシング(ビッシング)キャンペーン(新しいウィンドウ)にリンクされていました。 流出したデータには、名前、生年月日、アドレス、電話番号、メールアドレスなどの個人情報および連絡先情報が含まれていました。
Panera Bread
何が起きたのか?
アメリカのベーカリーカフェチェーンPanera Breadは大規模なデータ侵害に見舞われ、名前、生年月日、電話番号、メールアドレスなど、800万件以上のお客様の記録が流出しました。 The Register(新しいウィンドウ)によると、サイバー犯罪グループのShinyHuntersは、Microsoft Entra SSO コードを侵害することにより、同社の社内システムへのアクセスを取得しました。 このインシデントは、Bumble、Match グループ、SoundCloudなどにも影響を与えた、同グループのより広範な音声フィッシング(ビッシング)キャンペーン(新しいウィンドウ)の一環でした。
SoundCloud
何が起きたのか?
音楽ストリーミングプラットフォームのSoundCloudは、2,900万件以上のユーザー記録が関与するデータ流出の影響を受けました。 このインシデントは、脅威アクターグループのShinyHuntersによって実行され、2026年初頭に複数の主要ハイテク企業を標的とした、同じく広範な「ビッシング」キャンペーン(新しいウィンドウ)の一環でした。 SoundCloudは、流出にお客様の名前とメールアドレスが含まれていることを確認(新しいウィンドウ)し、「機密データ(財務データやパスワードのデータなど)にはアクセスされていない」と明確にしました。
Thermomix (Vorwerk) – Recipe World Forum
何が起きたのか?
2026年1月、セキュリティインシデントに続いて、Thermomix Recipe World Forum(Rezeptwelt)の300万件以上のユーザー記録を含むデータベースがオンラインで漏洩防止されました。 侵害が外部サービスプロバイダーによって管理される下位サーバーに限定されており、コアプラットフォームや接続されたデバイスには影響を与えなかったことを、親会社のVorwerkは確認しました(新しいウィンドウ)。 侵害されたデータには、名前、生年月日、アドレス、電話番号、メールアドレス、およびユーザー名が含まれていました。
Endesa
何が起きたのか?
2026年1月、名前、郵便コード、電話番号、メールアドレス、ID番号、IBANを含む極めて機密性の高い情報の漏洩防止をもたらしたサイバー攻撃について、スペインのエネルギー会社Endesaはお客様に通知しました(新しいウィンドウ)。 Endesaは、侵害された認証情報を通じて開始された可能性が高いこの侵害にアドレスするため、法執行機関と協力していることを確認しました。
カンタス航空
何が起きたのか?
オーストラリアの国営航空会社であるカンタス航空は、Scattered Lapsus$ Huntersというハッカーグループの標的となり、ランサムウェア攻撃(新しいウィンドウ)を受けました。 同社は身代金を支払わなかったため、1,100万件以上の顧客記録がダークウェブ上に漏洩しました。 顧客の名前、アドレス、メールアドレスを含む機密データが流出しましたが、金融記録は見つかりませんでした。 カンタス航空は、このデータ侵害を受けてセキュリティ対策を強化したと発表しました。
Vietnam Airlines
何が起きたのか?
2025年10月、「Scattered LAPSUS$ Hunters」として知られるハッキンググループによって、複数の組織のSalesforceシステムから取得されたデータセットがオンラインで公開されました(新しいウィンドウ)。 影響を受けた企業の一つがVietnam Airlinesであり、攻撃者は以前に2025年6月に同社のSalesforce環境にアクセスしていました。 この侵害により、名前、生年月日、アドレス、電話番号、メールアドレスなど、3,000万件以上のお客様の記録が流出しました。
Bouygues Telecom
何が起きたのか?
2025年8月、フランスの電気通信プロバイダーであるBouygues Telecomは、約640万件の顧客記録の流出につながったサイバー攻撃を報告しました(新しいウィンドウ)。 漏洩防止されたデータには、名前、生年月日、アドレス、電話番号、メールアドレス、およびIBANが含まれていました。 同社は、影響を受けたすべてのお客様にインシデントについて通知されたと述べました。
Miljödata
何が起きたのか?
2025年8月、スウェーデンのシステムサプライヤーであるMiljödataがランサムウェア攻撃を受け(新しいウィンドウ)、盗まれたデータがダークウェブ上で公開される事態となりました。 漏洩防止された情報には、メールアドレスとパスワードに加え、名前、生年月日、アドレス、電話番号、政府発行の個人ユーザー情報番号などの追加の個人情報が含まれていました。
無料
何が起きたのか?
フランス第2位のISP兼電話プロバイダーであるFree(新しいウィンドウ)は、2024年10月にデータ侵害の標的となったことを確認しました。 2025年5月、顧客データがダークウェブ上に現れました。名前、生年月日、電話番号、メールアドレス、IBANがすべて漏洩しました。 合計で1,950万件以上の記録がオンラインで確認されました。 情報技術と自由に関する国家委員会(CNIL)は、2025年3月にFreeに対する制裁手続きを開始しました。
Royal Mail
何が起きたのか?
英国の郵便サービスRoyal Mailは、144GBのお客様情報の漏洩防止を伴うデータ侵害の影響を受けました(新しいウィンドウ)。 報道によると、このインシデントはRoyal Mailが配送品質を監視するために使用しているドイツのサービスプロバイダー、Spectosで発生しました。 流出したデータには、名前、生年月日、アドレス、電話番号、メールアドレス、およびパスワードが含まれていました。
Hertz
何が起きたのか?
2025年4月、世界的なレンタカー大手であるHertzは、お客様情報の流出をもたらしたデータ侵害を確認しました(新しいウィンドウ)。 このインシデントは、同社が使用しているファイル転送プログラムであるCleoのサードパーティソフトウェアの脆弱性によって引き起こされました。 攻撃者はソフトウェアの「ゼロデイ」の欠陥を悪用し、データへの不正なアクセスを取得しました。 侵害されたデータには、名前、メールアドレス、ユーザー名、およびパスワードが含まれていました。
Orange Romania
何が起きたのか?
2025年2月、Reyと名乗るハッカーが、通信プロバイダーであるOrangeのルーマニア支社(新しいウィンドウ)から340万件以上の記録を入手しました。 Orangeが支払いを拒否したランサムウェア攻撃の後、顧客の名前、生年月日、アドレス、電話番号、メールアドレス、ユーザー名、ID番号を含むデータがダークウェブ上に現れました。 Orangeは、ルーマニア国立サイバーセキュリティ局(DNSC)と共に攻撃を監視しています。
Zacks Investment Research
何が起きたのか?
シカゴを拠点とする投資調査会社Zacks Investment Research(新しいウィンドウ)は、2024年6月にハッカーによる侵害を受けました。 2025年2月、名前、アドレス、電話番号、メールアドレス、ユーザー名、パスワードを含む顧客データがオンラインで販売されているのが確認されました。 同社は近年、複数のデータ侵害の影響を受けていますが、この侵害にはまだ対処していません。
PhoneMondo
何が起きたのか?
2025年1月、ドイツの通信プラットフォームPhoneMondoから盗まれた1,050万件以上の記録がダークウェブ上に現れました。 機密データには、名前、生年月日、アドレス、電話番号、メールアドレス、ユーザー名、パスワード、IBANが含まれます。 2025年10月現在、PhoneMondoはこの侵害を認めていないようです。
あなたのビジネスをこのリストに載せないために
パスワードと多要素認証は、ハッカーに対する防御の第一線です。 数千人の中小企業リーダーがどのようにパスワード管理を合理化し、データを保護しているかをご覧ください。
データ侵害観測所について
- データ侵害観測所とは何ですか?
- 情報はどこから入手しているのですか?
- なぜデータ侵害のニュースを報告するのか?
- 最近のデータ侵害を開示することは、企業に損害を与えませんか?
- 侵害はどのようにしてData Breach Observatoryに追加されますか?
- どのようなデータが漏洩しているのか?
- どのような種類のデータが侵害を致命的なものにしますか?
- 侵害の公開日は何を意味しますか?