イスラエルの決済企業ナヤックスは、ハッカーがクラウドアカウントから取引記録と業務文書を盗み出したとして、要求した身代金の支払いを拒否した。同社の子会社の1つに紐づいたクラウド口座からデータが持ち出された。ナヤックスは7月14日、データが流出(exfiltrated)したことを確認した。同社は7月8日に不審な活動を初めて開示してから6日後だった。ナヤックスの取締役会は、身代金の支払いが顧客、パートナー、従業員、株主の長期的利益につながらないとして、攻撃者の恐喝要求に応じないことを決定した。ハッカーは、ナヤックスが7月21日までに支払わない場合、盗んだとされる資料を公開すると脅した。同社はイスラエルと米国の捜査当局に協力しているものの、身代金の金額や攻撃者の正体は明らかにされていない。
ナヤックス、盗難データの内容と範囲を確認
ナヤックスの調査では、ハッカーがスキャンされた文書、業務に関連する情報、決済取引記録を含むバックアップをコピーしたことが判明した。同社によれば、取引記録にはカード名義人の氏名、CVVのセキュリティコード、本人確認情報は含まれていない。そうした詳細は一般に同社システムに保持されないためだ。バックアップに含まれていた取引件数、記録がカバーする期間、影響を受けたマーチャントおよび消費者の数は開示されていない。
ナヤックスによると、影響を受けた取引のかなりの部分は、Apple PayやGoogle Payといったデジタルウォレットに関するものだった。これらの支払いは、再利用可能なカード情報ではなくトークン化されたクレデンシャルを使用する。同社は、盗難データの正確な範囲と全内容の確認は現在も継続中だと認めている。
ナヤックスは、子会社に紐づくクラウドコンピューティングアカウントで異常な活動を検知したことを受け、7月8日に最初にこの件を報告した。活動が確認された後、そのアカウントはブロックされた。同社は、侵入がいつ始まったのか、攻撃者がどのようにアクセスを取得したのか、またアカウント内にどれくらいの期間留まっていたのかについては開示していない。
会社は決済インフラが安全だったと報告
ナヤックスは、顧客が保護していた資金は影響を受けておらず、攻撃者が顧客アカウントに対して不正なアクセスを得たこともないと述べた。同社のプロダクト環境、基幹システム、決済処理インフラは影響を受けず、運用は支障なく継続した。
2005年に設立されたナヤックスは、無人および従来型の小売事業者の運営者に対し、決済受け入れ、マーチャント管理、ロイヤルティ技術を提供している。3月31日時点で、同社は13の拠点、従業員は約1,250人、80以上のマーチャント・アクワイアラおよび決済手段との接続を持っていた。同社はマーチャントのために決済を処理しているため、消費者は自動販売機やその他のセルフサービス端末から購入した後に、カード明細にナヤックスが記載されているのを見る可能性がある。
ナヤックス、財務実績と侵害に伴うコストを開示
侵害は、ナヤックスにおいて急速な成長とコスト再構築が進行していた時期に発生した。同社は2025年の売上を約4億ドルと報告した。前年から約24%増で、前年に損失を計上した後の純利益は3,550万ドルだった。ナヤックスは2026年の売上を5億1000万ドルから5億2000万ドルの範囲で見込んでいる。
サイバー攻撃の直前に、同社は従業員32人を解雇したと報じられた。これは従業員数の約3%に相当し、イスラエルでの20のポジションを含む。これに先立って、別の規模の縮小が実施されていた。
サイバー攻撃により、フォレンジック調査、復旧(remediation)、システム見直し、インシデント対応といった費用が発生している。ナヤックスは追加コストが発生する可能性がある一方で、保険や補償(indemnification)の取り決めによって請求額の一部が相殺される可能性があるとした。同社は、これらのコストをまだ金額で見積もっておらず、いずれの法域においても規制当局の調査、消費者への通知、訴訟があると見込んでいるかどうかも開示していない。ナヤックスは、この件が自社の財務状況や運営結果に重大な影響を与えることを現時点では見込んでいないと述べた。
よくある質問
ハッカーはナヤックスからどんなデータを盗んだのですか?
ハッカーは、ナヤックスの子会社に紐づくクラウドアカウントから、スキャンされた文書、業務関連情報、決済取引記録を含むバックアップをコピーしました。取引記録には、カード名義人の氏名、CVVのセキュリティコード、本人確認情報は含まれていません。そうした詳細は一般にナヤックスのシステムに保持されていないためです。影響を受けた取引のかなりの部分は、トークン化されたクレデンシャルを使用するApple PayやGoogle Payといったデジタルウォレットに関するものだったとされています。
ナヤックスはいつサイバー攻撃を開示しましたか?
ナヤックスは、子会社に関連するクラウドコンピューティングアカウントで異常な活動を検知した後、7月8日に最初にこの件を報告しました。同社は7月14日、データが流出したことを確認しました。ハッカーは、ナヤックスが7月21日までに支払わない場合、盗まれたとされる資料を公開すると脅しました。
なぜナヤックスは身代金の支払いを拒否したのですか?
ナヤックスの取締役会は、身代金の支払いが顧客、パートナー、従業員、株主の長期的利益につながらないため、攻撃者の恐喝要求に応じないことを決定しました。同社はイスラエルと米国の法執行当局に協力しています。