チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「600万人規模の情報漏洩って、どうやって起きたんでしゅか?」
「ShinyHuntersってよく聞くけど、また同じ手口でしゅか?」
チップスボス、Carnival Cruiseで600万人分の情報漏洩が確定したんでしゅよね?クルーズ会社が狙われるって意外でしゅが、何があったんでしゅか?
ボスそうだな。今回の手口はソーシャルエンジニアリングで従業員アカウントを乗っ取るというものだ。技術的な脆弱性ではなく、人を狙った攻撃で大規模侵害が起きた典型例だ。
2026年5月28日、Carnival Cruiseは ShinyHuntersによる約599万人分の個人情報漏洩を正式に認め、被害者への通知を開始しました。
本記事では、攻撃経路、流出データの内容、そしてホスピタリティ業界に限らず取るべき対策を整理していきます。
Carnival Corporationは9つのクルーズブランドを擁し、年間1,350万人以上の乗客にサービスを提供する世界最大級の運営企業です。
事件の概要、攻撃経路と流出データ、そして取るべき対策の順に整理していきます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
Carnivalは、攻撃者が従業員を騙してITシステムの限定的領域へアクセスしたと公式に説明しています。
Have I Been Pwnedの分析を含む公開情報をもとに、流出データを以下の表に整理しました。
| 項目 | 内容 |
|---|---|
| 被害者数 | 約5,995,277名 |
| 流出情報 | 氏名、生年月日、メール、性別、地域、ロイヤルティプログラム情報 |
| 関与グループ | ShinyHunters(2026年4月に犯行声明) |
| 主張ボリューム | 860万件超、テラバイト級の企業データ |
チップスロイヤルティ会員情報まで含まれてるって、攻撃者にとってどれくらい価値があるんでしゅか?
ボス非常に価値が高い。会員資格を装ったフィッシングや、付与済みポイントの不正使用に直結する。顧客にとっても精神的負担が大きく、ブランド毀損は長く尾を引くぞ。
ShinyHuntersは近年、ヘルプデスクへのなりすまし電話など人為的経路を多用しています。
ソーシャルエンジニアリングが起点の侵害は、技術対策のみでは止めにくいのが現実です。
典型的な攻撃の流れは以下の通りです。
チップス技術じゃなく、人を騙されるから止めにくいんでしゅね。うちでもヘルプデスク経由でアカウントを巻き戻すケースって、結構あるでしゅ…。
ボスその通りだ。ヘルプデスク業務こそ攻撃者の標的になっている。本人確認の手順を「合言葉+追加チャネル」のように二重化し、緊急対応であっても省略を許さない運用が必須だ。
BleepingComputerの報道を踏まえ、実務的に効く対策は以下の通りです。
ShinyHuntersをはじめとする近年の攻撃グループは、ゼロデイより人間の手続きの隙を突くケースが目立ちます。
顧客接点を持つあらゆる業界で、ヘルプデスク運用と権限設計を改めて見直すきっかけにすべき事案です。
ボス技術対策と並んで、人の手続きを攻撃に強くすることが、現代のセキュリティの本丸だ。Carnivalの事案は、対岸の火事ではないと心得るべきだぞ。
チップスうちのヘルプデスクのルールも、攻撃者目線で見直してみるでしゅ!
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
