Malwarebytesは2024年5月10日(米国時間)、「Dell notifies customers about data breach|Malwarebytes」において、Dell Technologies (以降、Dell)から4,900万件の顧客情報が流出したと報じた。Dellは「Menelik」と名乗る脅威アクターが情報窃取したとサイバー犯罪フォーラムに投稿したことを受け、影響を受けた顧客に通知を開始したとされる。

Dell notifies customers about data breach|Malwarebytes

○投稿内容

脅威アクターがサイバー犯罪フォーラムに投稿した情報によると、窃取した情報は2017年から2024年の間にDellから購入したシステムの4,900万件の顧客であり、それらには次の項目のデータが含まれるという。

個人の氏名または企業名

住所

郵便番号

サービスタグ

配送日時(保証開始日)

保証プラン

シリアルナンバー(ディスプレーのみ)

Dell顧客番号

Dell注文番号

また、これら情報の国別集計のトップ5は以下の5カ国とされる。

米国

中国

インド

オーストラリア

カナダ

サイバー犯罪フォーラムへの投稿 引用:Malwarebytes

○情報漏洩の影響と対策

窃取された情報には、電話番号および電子メールアドレスは含まれないとみられている。そのため、詐欺師がオンラインで連絡してくることは困難と予想されるが、他の流出情報と組み合わせることで連絡してくる可能性がある。その場合、Dellのサポート詐欺を実行する可能性があるため注意が必要。

Malwarebytesは情報漏洩の被害に遭ったユーザーに対し、次のような対策の実施を推奨している。

Dellから連絡が来た場合はフィッシング攻撃かどうかを確認する。正規の連絡の場合はアドバイスに従い行動する

Dellのオンラインサービスにアカウントを登録している場合は、パスワードを一意で強力なパスワードに変更する

多要素認証(MFA: Multi-Factor Authentication)を選択できる場合は利用する

Dellの関係者を装った詐欺師に注意する。特に緊急性を訴える内容に注意

アイデンティティーモニタリング(IDモニタリング)を活用する

また、オンライン上に存在する個人情報を確認するために、「Scan Your Digital Footprint | Malwarebytes」を利用できるという。メールアドレスを入力することで、無料のレポートを確認することができる。