Malwarebytesは2024年5月10日(米国時間)、「Dell notifies customers about data breach|Malwarebytes」において、Dell Technologies (以降、Dell)から4,900万件の顧客情報が流出したと報じた。Dellは「Menelik」と名乗る脅威アクターが情報窃取したとサイバー犯罪フォーラムに投稿したことを受け、影響を受けた顧客に通知を開始したとされる。

  • Dell notifies customers about data breach|Malwarebytes

    Dell notifies customers about data breach|Malwarebytes

投稿内容

脅威アクターがサイバー犯罪フォーラムに投稿した情報によると、窃取した情報は2017年から2024年の間にDellから購入したシステムの4,900万件の顧客であり、それらには次の項目のデータが含まれるという。

  • 個人の氏名または企業名
  • 住所
  • 郵便番号
  • サービスタグ
  • 配送日時(保証開始日)
  • 保証プラン
  • シリアルナンバー(ディスプレーのみ)
  • Dell顧客番号
  • Dell注文番号

また、これら情報の国別集計のトップ5は以下の5カ国とされる。

  1. 米国
  2. 中国
  3. インド
  4. オーストラリア
  5. カナダ
  • サイバー犯罪フォーラムへの投稿 - 引用:Malwarebytes

    サイバー犯罪フォーラムへの投稿 引用:Malwarebytes

情報漏洩の影響と対策

窃取された情報には、電話番号および電子メールアドレスは含まれないとみられている。そのため、詐欺師がオンラインで連絡してくることは困難と予想されるが、他の流出情報と組み合わせることで連絡してくる可能性がある。その場合、Dellのサポート詐欺を実行する可能性があるため注意が必要。

Malwarebytesは情報漏洩の被害に遭ったユーザーに対し、次のような対策の実施を推奨している。

  • Dellから連絡が来た場合はフィッシング攻撃かどうかを確認する。正規の連絡の場合はアドバイスに従い行動する
  • Dellのオンラインサービスにアカウントを登録している場合は、パスワードを一意で強力なパスワードに変更する
  • 多要素認証(MFA: Multi-Factor Authentication)を選択できる場合は利用する
  • Dellの関係者を装った詐欺師に注意する。特に緊急性を訴える内容に注意
  • アイデンティティーモニタリング(IDモニタリング)を活用する

また、オンライン上に存在する個人情報を確認するために、「Scan Your Digital Footprint | Malwarebytes」を利用できるという。メールアドレスを入力することで、無料のレポートを確認することができる。