すでに流出したユーザー情報を活用したリスト型攻撃が発生

　同社によると、第三者がなりすましログインを行ったと思われる現象が15日から発生し、19日になって一部会員の会員情報が漏洩した可能性があることが判明した。不正ログインは、ニトリネットのニトリアプリ認証プログラムに対し、同社以外のサービスから流出した大量のユーザーID（メールアドレス）・パスワード情報を用いた「リスト型アカウントハッキング（リスト型攻撃）」の手法で行われていると推測している。

シルバーウィークの期間を狙い撃ち

　現在のところ、不正ログインの期間は15日～20日。個人情報が漏洩した可能性があるのは、ニトリネット、ニトリアプリ、シマホアプリで会員登録をした顧客と、シマホネットでニトリポイント利用手続きをした顧客で、判明している不正ログインを受けた可能性のあるユーザーID 数は約13万 2000 アカウントに上るという。

　第三者に閲覧された可能性のある情報は、メールアドレス、パスワード、会員番号、ニトリメンバーズの保有ポイント数、氏名、電話番号、住所、生年月日、性別、建物種別（戸建、集合住宅）、エレベーター有無、一部が目隠しされたクレジット カード番号、有効期限。

　クレジットカード決済に必要な情報は同社グループのシステム上に保持しておらず、今回の不正ログインによりクレジットカード決済が実行されることはないとしている。

不正ログインの可能性があるアカウントをリセット

　同社は今回の事態を重く受け止め、より一層、厳重な情報セキュリティ体制の構築と強化を図り、安全性の確保に努めていくことを表明。不正ログインされた可能性がある顧客のアカウントに対し、順次パスワードのリセットを行っている。また、新規の不正ログインを防止するために、セキュリティ機器のさらなる強化策を検討している。

　パスワードをリセットした会員番号の顧客にはメールで連絡しているほか、次回のサービス利用の際には、パスワードの再設定を求めている。同社へのメールでの問い合わせは https://www.nitori-net.jp/ec/input-inquiry/。電話は0120-209-993 （フリーダイヤル、受付時間は平日・土日祝の10：00-20:00）。