ユニクロとGUオンラインストアに不正ログイン46万件。リスト型攻撃

ファーストリテイリングは、「ユニクロ公式オンラインストア」、「ジーユー公式オンラインストア」において、第三社による不正なログインが発生したと発表した。10日に不正ログインを確認し、13日時点で不正ログインされたアカウントは46万1,091件。

閲覧された可能性のある個人情報は、氏名、住所と、電話番号、携帯電話番号、メールアドレス、性別、生年月日、購入履歴、マイサイズに登録している氏名およびサイズなどと、クレジットカード情報の一部(カード名義人、有効期限、クレジットカード番号の一部)。セキュリティコード(CVV)は、表示・保存されないため、漏えいの可能性はない。

不正ログインは、4月23日から5月10日にかけて、「リスト型アカウントハッキング(リスト型攻撃)」の手法で行なわれた。利用者から、「身に覚えのない登録情報変更の通知メールが届いた」という申出があり、調査したところ、不正ログインが試行されたことを確認。現在は通信元を特定してアクセスを遮断し、その他のアクセスについても監視を強化しているという。

個人情報が閲覧された可能性のある461,091件のユーザIDについては、5月13日にパスワードを無効化し、パスワードの再設定と登録内容確認のお願いをメールで個別に連絡。警視庁にも通報済みとしている。

今回の不正ログインの手法は、他社サービスから流出した可能性のあるユーザID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」と推測される。

ファーストリテイリングでは、他社サービスと同じパスワードを設定している場合は、不正ログインの対象となる可能性があるため、他社サービスと異なるパスワード設定を呼び掛けている。