2019.5.15

ユニクロ公式サイトにリスト型攻撃、46万件のアカウントが被害に

  • このエントリーをはてなブックマークに追加

(株)ファーストリテイリング、(株)ユニクロ、(株)ジーユーは14日、ユニクロ公式オンラインストアとジーユー公式オンラインストアで、第三者によるリスト型アカウントハッキング(リスト型攻撃)による第三者の不正なログインが発生し、46万1091件の個人情報が閲覧された可能性があると発表した。

 

ユーザーからの通報で不正発覚、カード番号の流出無し

 同社によると、19年4月23日から5月10日にかけて、リスト型攻撃が発生。14日時点での判明分で不正ログインされたアカウント数は、46万1091件となっている。「身に覚えのない登録情報変更の通知メールが届いた」という申し出があり、調査を進めたところ不正ログインの形跡が見られたという。なお、同事案については警視庁に通報を済ませている。

 

 閲覧された可能性のある個人情報は、氏名(姓名・フリガナ)/住所(郵便番号、市区郡町村、番地、部屋番号)/電話番号、携帯電話番号・メールアドレス・性別・生年月日・購入履歴・マイサイズに登録している氏名およびサイズ/配送先の氏名(姓名・フリガナ)・住所・電話番号/クレジットカード情報の一部 (カード名義人・有効期限・クレジットカード番号の一部)。クレジットカード番号は、上4桁と下4桁以外は非表示、クレジットカードセキュリティコードは、表示・保存されていないため、漏えいの可能性はないとしている。

 

 現在は、不正ログインが試行された通信元を特定してアクセスを遮断。その他のアクセスについては監視を強化している。個人情報が閲覧された可能性のあるユーザIDについては、13日にパスワードを無効化し、パスワード再設定の依頼をメールで個別に連絡している。

 

他サイトのパスワードを流用しないよう要請

 今回の不正ログインの手法は、他社サービスから流出した可能性のあるユーザID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測されることから、同社では(1)他社サービスとは異なるパスワードを設定する、(2)第3者が容易に推測できるパスワードを使用しないことを推奨している。


■ユニクロ

 

■ジーユー

 

▽関連記事

・リスト型攻撃が多発、実害も…18年ECセキュリティ事故を総括

 

・セシールECサイトに不正アクセス、リストの精度向上が目的か

関連記事