【この記事はIT系ライター M氏 が書きました】
ユニクロやジーユーの運営元、株式会社ファーストリテイリングによると、2019年4月23日から5月10日にかけ、「リスト型アカウントハッキング(リスト型攻撃)」の手法で461,091件のアカウントへの不正アクセスを確認したとのこと。
これは、ユニクロやジーユーから直接アカウントデータが流出したということではなく、他のサービスで使われているメールアドレス・パスワードの組み合わせを不正に入手した者が、新たな情報の詐取を試みている可能性があるということです。
同社の発表によると、今回の不正ログインにより閲覧された可能性のある個人情報は下記のとおりです。
・氏名(姓名、フリガナ)
・住所(郵便番号、市区郡町村、番地、部屋番号)
・電話番号、携帯電話番号、メールアドレス、性別、生年月日、購入履歴、「マイサイズ」(身体サイズを記録する機能)に登録している氏名およびサイズ
・配送先の氏名(姓名、フリガナ)、住所、電話番号
・クレジットカード情報の一部(カード名義人、有効期限、クレジットカード番号の一部)
※クレジットカード番号は上4桁と下4桁以外は非表示で、CVV番号(クレジットカードセキュリティコード)は、表示・保存されていないとのこと。
また、個人情報が閲覧された可能性のある46万件のアカウントについては、パスワードを無効化の上、再設定を依頼するメールにて個別に連絡しているとのことです。
リスト型アカウントハッキング
これは、各種ネットサービスから流出したメールアドレス・パスワードを大量に入手した者が別のサービスでログインを試す手口で、目的の犯行に及ぶ前の準備行動と見られています。ユーザーが流出元のサービスと同じアドレス・パスワードを設定していた場合、ユニクロ・ジーユーのアカウントでは被害が無くとも、他のサービスで被害を受けることが考えられます。
「パスワードの使い回し」につけこむ手口
この手口は、多くのユーザーが複数のサービスで同一のパスワードを使い回している状況に目をつけ、流出元のアカウント情報を元に金銭的な詐取を狙うものです。
つまり、パスワードが複雑な文字列であっても、複数のサービスで設定していてはこういった被害を防ぐことはできないのです。
「身に覚えのない通知」には要注意
今回は「身に覚えのない登録情報変更の通知メールが届いた」というユーザーからの申し出を元に調査したところ、攻撃が発覚したとのこと。アカウントによるログインが必要なサービスは、各種のアカウント情報を変更した際に自動で通知メールが届くことがほとんどです。身に覚えのない通知が届いた場合は早急にパスワードを変更した方が良いでしょう。
また、ネット上のサービスを利用する上で、パスワードの使い回しは危険です。不正アクセスによる被害を避けるために、各アカウントの設定を今一度確認することをお勧めします。
関連リンク
・「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて(ファーストリテイリング)
https://www.fastretailing.com/jp/group/news/1905132000.html
・パスワード管理について(独立行政法人情報処理推進機構)
https://www.ipa.go.jp/security/txt/2013/08outline.html