ショップチャンネルにパスワードリスト攻撃で不正アクセス264件、会員個人情報を閲覧された可能性も
公開日:
ジュピターショップチャンネル株式会社は22日、同社以外のサービスから不正に入手したメールアドレス・パスワードを用いた不正ログインが発生したと発表した。
その際、ユーザーの個人情報が不正アクセスをした第三者に閲覧された可能性があるという。
経緯としては、2020年7月15日(水)に国外IPアドレスよりメールアドレス・パスワードを使ったなりすましによる不正アクセスが発生し、同社のモニタリングによりこれを探知。
海外からのアクセスを遮断し調査したところ、不正ログインが確認された。
また会員情報を不正にログインした第三者に閲覧された可能性があることが判明したもの。
不正ログインに使われた個人情報が同社内から流出した証跡はないとしており、リスト型アカウントハッキング(リスト型攻撃)によるものと推測されるという。
不正にログインされたユーザーについては、同様の被害を防ぐため7月16日にログインパスワードを初期化、メールおよび電話でパスワード再設定の連絡を行っている。
また、不正アクセス元のIPアドレスからのアクセスを遮断、監視を強化しているという。
不正ログイン被害件数
不正ログインが確認された件数:264 件
不正ログインにより第三者に個人情報が閲覧された可能性のある件数:22 件
ショップチャンネルによると第三者に閲覧された可能性があるユーザー情報は以下の通り。
■第三者に閲覧された可能性のある情報
氏名(姓名・フリガナ)
郵便番号
住所
電話番号
メールアドレス
生年月日
クレジットカード情報(カード番号の下 4 桁・有効期限)
ご本人以外へのお届け先として登録されている情報(氏名・郵便番号・住所)
なお、カード番号の下 4 桁以外とセキュリティコードはマスキングされているため閲覧された可能性はなく、不正利用等の報告もないという。
リスト型攻撃による通販サイトへの不正ログイン発生について より
リスト型アカウントハッキング(リスト型攻撃)
パスワードリスト攻撃(クレデンシャルスタッフィング攻撃・アカウントリスト攻撃)ともいう。
日本企業を対象としたパスワードリスト攻撃としては2月にトヨタファイナンス、4月に任天堂、6月にはカメラのキタムラをターゲットとした同様の攻撃が発生している。
関連記事:
カメラのキタムラ ネットショップにパスワードリスト攻撃か、会員個人情報を不正アクセスした第三者に閲覧された可能性
任天堂にパスワードリスト攻撃、16万件の個人情報流出(ニンテンドーネットワークID、ニンテンドーアカウント)
トヨタファイナンスカード会員向けWEBサイトで不正ログインが判明
関連記事
カテゴリ:セキュリティニュース
タグ:アカウントリスト攻撃,クレデンシャルスタッフィング攻撃,パスワードリスト攻撃,リスト型アカウントハッキング,不正アクセス,個人情報流出