ユーザーからの通報で不正発覚、カード番号の流出無し

　同社によると、１９年４月２３日から５月１０日にかけて、リスト型攻撃が発生。１４日時点での判明分で不正ログインされたアカウント数は、４６万１０９１件となっている。「身に覚えのない登録情報変更の通知メールが届いた」という申し出があり、調査を進めたところ不正ログインの形跡が見られたという。なお、同事案については警視庁に通報を済ませている。

　閲覧された可能性のある個人情報は、氏名（姓名・フリガナ）／住所（郵便番号、市区郡町村、番地、部屋番号）／電話番号、携帯電話番号・メールアドレス・性別・生年月日・購入履歴・マイサイズに登録している氏名およびサイズ／配送先の氏名（姓名・フリガナ）・住所・電話番号／クレジットカード情報の一部　（カード名義人・有効期限・クレジットカード番号の一部）。クレジットカード番号は、上４桁と下４桁以外は非表示、クレジットカードセキュリティコードは、表示・保存されていないため、漏えいの可能性はないとしている。

　現在は、不正ログインが試行された通信元を特定してアクセスを遮断。その他のアクセスについては監視を強化している。個人情報が閲覧された可能性のあるユーザＩＤについては、１３日にパスワードを無効化し、パスワード再設定の依頼をメールで個別に連絡している。

他サイトのパスワードを流用しないよう要請

　今回の不正ログインの手法は、他社サービスから流出した可能性のあるユーザＩＤ・パスワードを利用した「リスト型アカウントハッキング（リスト型攻撃）」の手法で行われていると推測されることから、同社では（１）他社サービスとは異なるパスワードを設定する、（２）第３者が容易に推測できるパスワードを使用しないことを推奨している。

■ユニクロ

■ジーユー

▽関連記事

・リスト型攻撃が多発、実害も…１８年ＥＣセキュリティ事故を総括

・セシールＥＣサイトに不正アクセス、リストの精度向上が目的か