10月17日に嗜好用大麻が解禁されたばかりのカナダのオンタリオ州で、政府公認の大麻販売店から数千件もの個人情報の流出が起きた。「オンタリオ・カンナビス・ストア（OCS）」は、カナダ政府が大麻を解禁して以来、初の個人情報流出を起こした販売店となった。



OCSは既に約4500名の顧客らにコンタクトをとり、購入者の住所がダークウェブ上で公開されていることを伝えている。これらの情報はOCSが配送を依頼した、カナダ郵便公社のデータベースが11月1日にハッキングされて流出した。



OCSの広報担当者は声明で「カナダ郵便公社と緊密な連携をとり、原因の究明に当たり、これ以上の顧客情報の流出を防ぐ対策をとった」と述べた。



ダークウェブ上で販売されているデータには、住所やカナダ郵便公社のトラッキングナンバー、配達日や受け取り人のサインの名義などが含まれている。決済に関わるデータは含まれていないが、たとえイニシャルのみであったとしても、サインが含まれている点は、非常に重大なことだ。



これらのデータは今後、恐喝などの犯罪に用いられる可能性がある。OCSは被害にあった顧客らにEメールを送信しており、メールを受け取っていない顧客らは被害を受けていないという。



カナダ郵便公社は独自に発表した声明で「これ以上の情報流出を防ぐ措置を、既に講じている」と述べた。セキュリティ企業Darktrace IndustrialのAndrew Tsonchevは筆者の取材に対し、「流出したデータはOCSの顧客のものだけであり、ハッカーが大麻の購入者のデータをターゲットとしたことは明らかだ」と述べた。



仮に顧客のフルネームをハッカーが入手していたとしたら、彼らはそれをネタに金を脅し取ろうとするかもしれない。Tsonchevによると、配達の追跡を行うアプリなどは、ハッカーの標的になりやすいという。



別のセキュリティ企業RepKnightの担当者は「サプライチェーンを通じた個人情報流出は、近年増加しており、ハッキング被害の63％が配送の委託先企業で発生している」と述べた。



今回の件で責められるべきは大麻販売店ではなく、カナダ郵便公社なのかもしれない。しかし、コンプライアンス企業IT Governance創業者のAlan Calderは、「外部に配送を委託する企業は、責任を持って委託先のセキュリティ状況の監査を行うべきだ。多くの企業が十分な審査プロセスを経ずに、外部に配送を委託している」と述べた。