TENGAから顧客情報が漏洩…TENGAも顧客も恥ずかしい事態に

02/17 22:00

GIZMODO

社名を見て「それはちょっとなぁ！」と正直思った。

TechCrunchが報道した内容によると、日本発のアダルトグッズブランドの「TENGA」が、顧客に対して「自社からデータが漏洩した」という通知メールを送付したことが明らかになりました。

同社の発表によれば、ハッカーが従業員1名のメールアカウントに不正アクセスし、その受信トレイの内容を閲覧・窃取できた状態になっていたとのこと。

漏洩した可能性のある情報は、顧客の氏名、メールアドレス、過去のメール履歴で、「注文内容やカスタマーサービスへの問い合わせ内容を含む場合がある」と説明されています。

ということは、セルフプレジャーやら何やらのために買った品々が、どこに、どれくらい届いたかもバレている…と思うと、むずがゆい気持ちもあります。

とはいえ、今回の通知メールは「TENGA STORE USA」から送られたもので、アメリカの顧客が主な対象とみられます。ただ、日本を含むそれ以外の地域の顧客への影響については、現時点では明らかになっていません。

技術的に見るとかなり初歩的なミス

今回の侵害の経路として注目すべきは、「多要素認証（MFA）が有効になっていなかった可能性が高い」という点です。

TechCrunchは「侵害以前からMFAは設定していたのか」と問い合わせましたが、TENGAは公式に回答していません。また、この記事執筆時点では、TENGAの日本公式やグローバルアカウントからは特にリリースもないようです。

TENGAは対応策として、侵害されたアカウントの認証情報のリセットと、全システムへのMFA導入を実施したと発表しました。逆にいえば、事件前の時点でMFAが適用されていなかったことを、ほぼゲロしたようなものですね。

企業規模の大小を問わず、個人でも少なからず何かは「やっていて当然」の対策のはず。TENGAは累計1億6200万個超の出荷実績があると誇っていますが、世界規模のユーザーを抱えるブランドとしてセキュリティ体制の甘さをツッコまれるのはやむなしでしょうか。

「顧客情報が漏洩しました」というニュースは、もはや日常茶飯事な気もしますが、どうもこの件は違う緊張感がある気もします。

購入するものがあまり大手を振って明かすタイプのものではありませんし、「カスタマーサービスへの相談内容」も人によってはかなりセンシティブでしょう。なんというか、自宅の「引き出しの中身」まで覗かれた感覚に近い。

そして残念ながら、これはTENGAだけの問題でもなさそうです。2025年にはアダルトグッズメーカーの「Lovense」がユーザーのメールアドレスを漏洩し、アカウントの乗っ取りリスクが発生したケースも報告されています。

成人向けコンテンツや性的な製品・サービスを扱う企業がサイバー攻撃に晒されやすいのは、おそらくユーザーが「騒ぎにくい」からでしょう。「TENGAの顧客」であることをオープンにできる社会的空気は、まだ日本では完全には醸成されていないと感じます。

もちろん、TENGAというブランド自体は、そういうものを「恥ずべきもの」から「セクシャルウェルネス」という概念で捉え直して、日常の選択肢へ変えるためのコミュニケーションに取り組んできた企業でもあります。

「買ったのを知られて何がいかんのだ！」と開き直れる人は被害を申告できる。でも「バレたくない…」という心理が強い人ほど被害に遭っても黙ってしまう可能性がある。それは攻撃側にとって都合がいいわけで、ハッカーの戦略になってしまう場合があります。

「顧客情報の漏洩」に慣れすぎた鈍感さと、「アダルトな製品の購入記録」というセンシティブさ。この2つが交差してみて改めて、初歩的な設定はもちろん、社会の空気そのものを問い直してみる機会にもなった……ともいえるのかも。