ニュース 2019.05.30 ユニクロとGUの通販サイト、不正ログインで46万件超の顧客情報が流出

同社では顧客から「身に覚えのない登録情報変更の通知メールが届いた」という申し出を受けて調査を進めたところ、4月23日から5月10日にかけ、不正ログインが試行されたことを確認したという。同社では顧客から「身に覚えのない登録情報変更の通知メールが届いた」という申し出を受けて調査を進めたところ、4月23日から5月10日にかけ、不正ログインが試行されたことを確認したという。

不正ログインを受けたことを確認したアカウントは46万1091件で、漏えいしたと見られる情報は以下の通りだ。

●  ユーザーの氏名（姓名、フリガナ）
●  ユーザーの住所（郵便番号、市区郡町村、番地、部屋番号）
●  ユーザーの電話番号、携帯電話番号、メールアドレス、性別、生年月日、購入履歴、マイサイズに登録している氏名およびサイズ
●  配送先の氏名（姓名、フリガナ）、住所、電話番号
●  クレジットカード情報の一部 （カード名義人、有効期限、クレジットカード番号の一部）　

クレジットカード番号は、上4桁と下4桁以外は非表示としており、クレジットカードのセキュリティコードも保存していないため、漏えいの可能性はないとしている。

現在は、不正ログインが試行された通信元を特定してアクセスを遮断し、その他のアクセスの監視も強化しされている。

不正ログインされた可能性のある461,091件のユーザIDについては、5月13日にパスワードを無効化し、パスワードの再設定と登録内容の確認をユーザーに個別で依頼した模様だ。

今回の不正ログインの手法は、他社のサービスから流出した可能性のあるユーザID・パスワードを利用した「リスト型アカウントハッキング（リスト型攻撃）」の手法で行われたものと見られている。

今回の攻撃を受けて、ファーストリテイリング社では「他社サービスとは異なるパスワードを設定すること」「第三者が容易に推測できるパスワードを使用しないこと」といった注意喚起を行った。

【関連リンク】　

・「リスト型アカウントハッキング（リスト型攻撃）」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて（UNIQLO）https://www.uniqlo.com/jp/corp/pressrelease/2019/05/19051409_uniqlo.html　

・「リスト型アカウントハッキング（リスト型攻撃）」に関する総務省報道資料（総務省）http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock