第三者による不当なアカウントを利用したログインを確認

同社によると、悪意のある第三者による正当なアカウントを利用したログインが、20日に管理画面の管理者ログ一覧で確認され、不正にコンテンツを改ざんされていた。futureshopシステムの脆弱性は確認されていない。

これを受けて21日、全契約者への注意喚起と、すべての管理者パスワードの再設定を依頼。8月24日に予定していたセキュリティ強化のための仕様変更を急きょ、4月26日に実施した。11月をめどに、管理者ログインの多要素認証を進める考えを明らかにした。

「Webスキミング」の解説やリスク回避設定に向けたセキュリティ対策勉強会を開始

併せて、オンラインによる仕様変更の説明と、自社ECサイト運営のためのセキュリティ対策勉強会の日程を公表。futureshop利用のコマースクリエイター利用店舗、未利用店舗ともに参加できる。「Webスキミング」という攻撃手法についての解説とともに、リスク回避のための具体的な設定方法、ECサイトのセキュリティレベルの向上のための対策を解説する。

同社によると、「Webスキミング」は、JavaScriptファイルに細工するなどして、ECサイトで入力または表示される個人情報やクレジットカード情報、パスワードなどを不正に取得する攻撃手法。特に、外部サーバに配置したJavaScriptファイルが攻撃対象となりやすく、FTPサーバのID・パスワード漏えいを目的としたGumblar（ガンブラー）ウィルスと組み合わせた攻撃や、パスワードの使いまわしに起因するFTPサーバへの不正アクセスが懸念されるという。

勉強会の会場はオンライン（Zoom）で、定員に制限はない。無料。日程は4月28日11:00～12;00／5月7日11:00～12:00／13日15:00～16:00／20日11:00～12:00／28日15:00～16:00の計5回。質疑応答は「チャット」でリアルタイムで受け付ける。

■『セキュリティ対策勉強会』
https://www.future-shop.jp/session/study/futureshop-academy-security.html