【アメリカ】カーニバル600万人流出、4月の電話詐欺1件が起点——日本のダイヤモンド・プリンセスにも波及

📝 カーニバル、5,995,277人分の流出を公表——5月27日から個別通知が始まる

米クルーズ最大手カーニバル・コーポレーション(Carnival Corporation)は2026年5月27日、自社のIT環境から約600万人分の顧客個人情報が窃取されたと認め、被害者への通知書発送を開始した。米Maine州司法長官への届出によれば、影響を受けたのは5,995,277人。Have I Been Pwnedが先行掲載していた870万件からは絞り込まれたが、それでもカーニバル史上最大の流出事案となる。

窃取された情報は氏名、住所、メールアドレス、電話番号、生年月日、州発行身分証番号(state ID)、運転免許番号、パスポート番号。会社の声明は「サイバー事象の発生を深く遺憾に思う」と述べ、影響を受けた個人にはTransUnion経由で2年間の信用監視サービスを無償提供するとした。

📰 The Register報道：「電話詐欺1件で侵入、4月18日にShinyHuntersが盗難を主張」

元ネタ：Carnival confirms ShinyHunters cruised off with 6M customer records after April breach（The Register / 2026-05-28）

The breach stemmed from an April 14 social engineering attack on an employee. ShinyHunters wrote on its data leak site: “The company failed to reach an agreement with us despite our incredible patience. They don’t care.”

侵入の検知日は2026年4月14日。カーニバルのIT security teamが「従業員アカウントの不正アクティビティ」を確認、調査の結果、攻撃者は社会工学を使って従業員1人を欺き、IT環境の一部にアクセスしたと特定した。攻撃集団ShinyHuntersは4月18日に自身の”pay or leak”リークサイトにカーニバルを掲載。会社が要求に応じなかったため、5月末に大規模な通知へ踏み切る格好となった。

🔥 ShinyHuntersの手口：IT部門なりすまし電話でSSO・MFAを奪取する「vishing」型

Mandiantの脅威インテリジェンスによれば、ShinyHuntersの主力手法は2026年初頭からvishing(voice phishing)に大きく傾斜している。攻撃者はターゲット企業のITヘルプデスクを装って従業員に電話をかけ、本物そっくりのURLを送りつけてSSO(シングルサインオン)パスワードとMFA(多要素認証)コードを聞き出す。聞き出した認証情報をその場で使い、攻撃者所有のデバイスをMFAソリューションに登録、社内SaaSアプリケーションへ侵入する。

事前リサーチが徹底しており、ターゲットが使用しているidentity管理アプリ名(Okta、Microsoft Entra ID等)を把握したうえで、本物のIT helpdesk電話番号をなりすますspoofing techniqueも観測されている。今回のカーニバル事案でも、攻撃者は単一の従業員アカウント突破からIT環境の「限定された部分」にアクセスした、と会社が説明している点が、典型的なShinyHunters侵入パターンと一致する。

2026年に入りShinyHunters関連の同型攻撃は数百件規模に拡大。Google Cloudの脅威解析チームは「SaaS環境を主戦場とするデータ窃取と脅迫の一体運営」と位置付け、4月だけで3万社超を対象とした調査を公表した。

🇯🇵 日本のダイヤモンド・プリンセス予約者にも影響、カーニバル・ジャパンは2020年にも顧客情報流出

カーニバル・コーポレーションは9つのクルーズブランドを保有する世界最大の客船運航会社で、プリンセス・クルーズ(Princess Cruises)もその傘下にある。プリンセスのフラッグシップDiamond Princessは2026年シーズン、2月から11月にかけて横浜を母港として50回の運航を予定——プリンセス史上最大規模の日本シーズンとなる。寄港地は神戸、広島、長崎、鹿児島、金沢、青森、函館、沖縄、石垣島など全国に広がる。

カーニバル・コーポレーションは公式声明で被害者の国籍別内訳を出していない。ただしDiamond Princessは長崎県の三菱重工が建造した「日本生まれの船」で、Princess Cruises Japan経由の予約者と、海外サイトから直接予約した日本人客の情報が同じデータベース上に保管されている公算が高い。パスポート番号と生年月日が流出データに含まれていることから、海外渡航のために情報を登録した日本人客が含まれている場合、なりすまし出国・口座開設詐欺など二次被害のリスクが残る。

カーニバル・ジャパン株式会社は2020年3月にも、従業員アカウントへの不正アクセスにより日本人顧客の氏名・パスポート番号・社会保障番号が漏洩した前例がある(ScanNetSecurity報道)。今回も同じく「従業員1人のアカウント侵入」を起点としており、カーニバル・グループ全体の特権アカウント管理と従業員教育の運用が問われる構造的問題が、6年経っても解決していない可能性を示唆する。

日本国内ではNHK、日経、読売、朝日のいずれも本稿執筆時点(2026年5月31日)で本件を報じていない。総務省サイバーセキュリティ統括官室および個人情報保護委員会への報告は、米Maine州司法長官への届出から最大60日(個人情報保護法施行令)以内に行われる必要がある。

🏁 交渉決裂型ランサムウェアの「払わない判断」が顧客リスクに転嫁される構造

今回の事案で注目すべきは、カーニバルがShinyHuntersの身代金要求を呑まず、交渉決裂のまま大規模通知に踏み切った点だ。ShinyHuntersの「彼らは(顧客のことを)気にしていない」という遺漏宣言は、企業が払わない判断をとると顧客のパスポート番号が闇市場で流通する、というextortion経済の構造を改めて露わにした。

日本企業も同型のvishing攻撃を受けた場合、「払わない」判断は法令遵守の正解だが、その代償として顧客個人情報の暗市場流通リスクを引き受けることになる。この二項対立の答えは、ヘルプデスクなりすまし対策とMFAのFIDO(Fast Identity Online)化を平時に進めておく、それ以外にない。Diamond Princess予約時にパスポート情報を渡している人は、念のためアカウント側のパスワード変更とMFA再登録を済ませておきたい。

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践