株式会社ニトリホールディングス(以下、ニトリHD)は2022年9月20日、同社のスマートフォンアプリ「ニトリアプリ」に対する不正ログインを確認したと発表しました。
第三者が不正にニトリHD以外のECサービスなどから入手した大量のユーザーID(メールアドレス)とパスワード情報を用いたなりすましログインを行ったと思われる現象が発生していることを確認し、不正ログインは、「リスト型アカウントハッキング(リスト型攻撃)」だと推測しています。
「リスト型アカウントハッキング(リスト型攻撃)」は、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃になります。
発表によれば、攻撃者がリスト型攻撃によって不正にログインしていたのは9月15日から9月20日。9月20日時点で判明している不正ログインされたアカウント数は約13万2000アカウントになる。
今回の不正ログインで第三者に閲覧された可能性がある情報は以下の通り、クレジットカード決済に必要な情報は同社のシステム上に保持していないため、不正ログインによりクレジットカード決済が行われることはないと発表している。
第三者に閲覧された可能性のある情報は、メールアドレス、パスワード、会員番号、ニトリメンバーズの保有ポイント数、氏名、電話番号、住所、生年月日、性別、建物種別(戸建、集合住宅)、エレベーター有無、一部が目隠しされたクレジットカード番号、有効期限。
ニトリHDでは、不正ログインされた可能性があるユーザーアカウントに対し、順次パスワードのリセットを実施。パスワードの再設定を呼びかけると同時に、次のように注意喚起をしている。
ニトリのホームページ上部に【お詫びとお願い】ニトリアプリへの不正アクセスとパスワードの変更についてと代して以下のリンクに誘導されます。
■ ニトリアプリへの不正アクセスとパスワードの変更について(ニトリ)
https://www.nitori-net.jp/ecstatic/image/pdf/nitori001.pdf
「リスト型アカウントハッキング(リスト型攻撃)」による不正ログインへの対応策については、総務省が2013年に次のような施策を事業者に向けて公表しています。
■ 攻撃を予防する対策
・ID・パスワードの使い回しに関する注意喚起の実施
サービス毎に異なるID・パスワードを設定するよう利用者に定期的に注意喚起
・パスワードの有効期間設定
パスワードに有効活用を設定し、利用者に定期的に変更させる
・パスワードの履歴の保存
数世代前に使用したパスワードへの変更を認めないようにする
・二要素認証の導入
ID・パスワード以外の認証要素(SMSやメールなどによる、ワンタイムパスワードなど)を追加する
・ID・パスワードの適切な保存
サービス運営事業者において暗号化などID・パスワードの適切な保存を行う
・休眠アカウントの廃止
長期間利用実績の無いアカウントをデータも含めて削除する
■ 攻撃による被害の拡大を防ぐ対策
・アカウントロックアウト
・特定のIPアドレスからの通信の遮断
・普段とは異なるIPアドレスからの通信の遮断
・ログイン履歴の表示
リスト型アカウントハッキングによる不正ログインへの対応方策について(総務省)
https://www.soumu.go.jp/main_content/000265403.pdf
関連サイト
「ニトリアプリ」への不正アクセスによる個人情報流出の可能性に関するお詫びとお知らせ(ニトリ)
https://www.nitorihd.co.jp/news/items/2cdbc59fa4c3ffe4da790cc1cfe85200.pdf
ニトリアプリへの不正アクセスとパスワードの変更について(ニトリ)
