二重登録防止機能を悪用、４９０人が不正ログイン

　ディノス・セシールは６日、「セシールオンラインショップ」への不正アクセスについて第１報を公表した。２日の午前から夕方にかけて中国国内の２０１個のＩＰアドレスから不正アクセスが発生。セシールオンラインショップに登録されたメールアドレスを使って１９３８件の不正アクセスを受け、そのうち４９０人分について不正ログインがなされた。

　同社は８日、外部機関による調査結果をもとに第２報を公表。調査によると、サイトの二重登録防止機能を悪用した不正アクセスであることが判明した。不正アクセスが発生した２日には約１６万５０００件の新規登録申請があった。そのうち約３５００件は、登録済みのメールアドレスによる登録申請だった。さらに、不正アクセスを受けた１９３８件すべてが上記３５３３件に含まれていた。

　不正アクセス主体は、外部から不正に入手したメールアドレスのリストを用いてセシールのＥＣの新規登録を試し、リストのスクリーニングを実施。二重登録防止機能により、すでに登録されているメールアドレスを確認する。そのうえで、登録済みであるメールアドレスと、不正に入手したパスワードを組み合わせてログインを試行したもよう。

クレジットカード番号などの情報が外部流出の可能性はなし

　今回の不正アクセスからは、会員のクレジットカード情報などを参照できるページに遷移した形跡はない。今回の件は、攻撃者が保有するリストのメールアドレスとパスワードのマッチングなど、精度を高めることが目的とみられる。

　同社では、不正ログインされた４９０人の顧客に今回の要因などについて連絡。希望に応じて新しい顧客ＩＤでの再登録を実施。ログインに至らなかった不正アクセスを受けた１４４８人の顧客や、不正アクセス主体がメールアドレスを保有していると思われる１５９５人の顧客にも経緯や注意喚起を連絡した。

ディノス・セシールでは「今回のことを厳粛の受け止め、さらなるセキュリティレベル向上策を検討・実施し、再発防止に努める」（広報室）としている。