ニュース 2020.07.01 「カメラのキタムラ」に不正アクセス 顧客情報40万件流出か

サイトでは二段階認証や多要素認証などの不正アクセス防止策は講じられていなかったという。

閲覧された可能性があるのは、顧客の氏名や届け先住所、生年月日、電話番号、性別、メールアドレス、利用店舗、注文履歴、保有Tポイント残高など40万件ほどの個人情報。なお、同社では顧客のクレジットカード情報は保持していないとしている。

同社によると不正アクセスは4月4日から5月27日にかけて国外の複数のIPアドレスから顧客のメールアドレスとパスワードを利用し、会員になりすましてログインする不正アクセスが相次いで発生したとのこと。判明したのは5月28日で、その後も不正アクセスは継続して確認している。

不正アクセスに利用されたメールアドレスとパスワードは、同社とは関係しない外部で不正に入手したものをリスト化したもの。それを用いた「リスト型攻撃」で顧客アカウントへ不正ログインしたとみられる。

キタムラは被害にあった顧客に対して、ログインパスワードを初期化したうえで、注意喚起とパスワードの再設定を促すメールを送った。また、引き続き特定のIPアドレスから不正アクセスがないか監視を強化しているという。

同社では、複数のサービスでのパスワードの使い回しを避けるよう呼びかけると共に「本件を厳粛に受け止め、外部の有識者の助言を踏まえ、更なるセキュリティレベルの向上策を講じ、再発防止に努めていく」としている。

【関連リンク】

・「カメラのキタムラ ネットショップ」への“なりすまし”による不正アクセス発生について（カメラのキタムラ）
https://www.kitamura.jp/topics/2020/20200615_01.html

・「カメラのキタムラ」個人情報40万件が閲覧された恐れ （日本経済新聞）
https://www.nikkei.com/article/DGXMZO60440520X10C20A6000000/

TEXT：セキュリティ通信 編集部
PHOTO：iStock