大人のおもちゃメーカーTENGAについて、米国向けの案内メールを通じて、従業員の業務用メールアカウントが第三者に不正アクセスされ、顧客情報が閲覧・取得された可能性があるサイバーセキュリティインシデントが通知されたと報じられました。
影響人数は現時点で明らかにされておらず、漏えいした可能性がある情報として、氏名、メールアドレス、過去のメールのやり取り(注文内容やカスタマーサポートの問い合わせが含まれる可能性)が挙げられています。
何が起きたか
報道によると、不正な第三者がTENGA従業員のメールアカウントにアクセスし、受信箱に保存されていた情報へ到達した可能性があります。これにより、顧客の氏名とメールアドレス、過去のメール履歴(注文に関するやり取りや問い合わせ内容を含み得る)が閲覧・取得された可能性があるとされています。
また、侵害された従業員の連絡先(顧客を含む)に対して、スパムメールが送信された可能性も指摘されています。
日本への影響は不明
今回は米国ユーザー向けの環境への不正アクセスだったため、日本国内への侵害が発生しているか不明ですが、念のためフィッシングメールなどへの警戒が必要です。
漏えいした可能性がある情報
現時点で挙げられている対象は次のとおりです。
一方で、どの地域の顧客がどの程度影響を受けたか、影響人数の総数などの詳細は報道時点で明確化されていません。
原因
公表・報道ベースでは、起点は従業員の業務用メールアカウントへの不正アクセスです。メール侵害型は、パスワード流出やフィッシング、認証強度不足など複数の経路があり得ますが、今回の件について侵入経路の詳細は示されていません。
企業側の対応
報道では、当該従業員の認証情報のリセットや、多要素認証(MFA)の有効化など、侵害後の対策が取られたとされています。
なお、侵害以前に当該メールアカウントでMFAが有効だったかどうかは、質問に回答がなかったとされています。
疑似事例:Pornhubの会員データ流出では視聴履歴が恐喝に使われた
今回のTengaのように、注文内容やカスタマーサポートのメール履歴が漏えい対象になり得る事案では、情報そのものの機微性が二次被害の起点になります。2025年年末の疑似事例として押さえておきたいのが、Pornhubの会員データ流出を巡り、ハッカーが本格的な恐喝(いわゆるセクストーション)を進めたとされる件です。ポルノハブの個人情報漏洩項目はメールアドレス等に加え、検索・視聴・ダウンロード履歴のような行動データが含まれ、これが本人特定やアウンティング脅迫に悪用される可能性があります。
アダルト領域に限りませんが、性的嗜好(性癖)や購入履歴は、本人が周囲に知られたくない情報であるほど脅迫ネタとして成立しやすく実際にポルノハブのデータを悪用した脅迫メールの配信も指摘されています。
Tengaのケースでも、メールのやり取りに注文内容や問い合わせ事情が含まれていた場合、攻撃者はそれを材料に、支払い要求やなりすまし、取引先・家族への暴露を匂わせる手口に展開し得ます。したがって、被害者側の注意点は単なるフィッシング対策に留まりません
。届いたメールの文面に注文やサポート履歴の断片が書かれていても信用せず、公式窓口で事実確認すること、メール・ECアカウントの多要素認証を徹底すること、同一パスワードの使い回しを止めることが重要です。
参照
Sex toys maker Tenga says hacker stole customer information
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。
セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。