【重要なお知らせ】エムアイカードカードご利用確認のお願いというメールがフィッシング詐欺か検証する
【VIEW’s NET】会員様向けのお知らせというメールがフィッシング詐欺か検証する
ディスクユニオンで最大70万件の個人情報流出、ネット上で販売も
公開日:
2022年6月29日、レコード販売店チェーンを運営する株式会社ディスクユニオンは、同社のオンラインショップ「diskunion.net」ならびに「audiounion.jp」に登録されたユーザーの個人情報最大70万円余りが漏洩した可能性があると発表した。
弊社オンラインショップ登録個人情報漏えいに関するお詫びとご報告 | ディスクユニオン より引用
漏えいの可能性が確認された個人情報
対象: 同社オンラインショップ「diskunion.net」ならびに「audiounion.jp」に登録したユーザー
項目: 氏名、住所、電話/FAX番号、Eメールアドレス、ログインパスワード、会員番号
件数: 最大約701,000件
なお、クレジットカード情報は保有しておらず漏えいの可能性はないという。
経緯および対応について
同社によると、経緯は以下の通り。
6月24日(金)第三者からの情報提供により、社内調査を実施したところ同社オンラインショップに登録されたユーザーの個人情報が漏えいしている可能性があることを確認。更なる漏えいを防ぐため同日23時にオンラインショップを停止。
6月25日(土)
午前に社内緊急対策チームを発足。外部調査機関への依頼を実施。
6月27日(月)
個人情報保護委員会へ報告。
6月28日(火)
所轄警察へ被害報告。
となっている。
ネット上での流出状況
当初、ダークウェブで流出しているというニュースが流れたが、現状ではダークウェブではなくすでに一般に閲覧可能なWebフォーラムなどで販売されている。
またこの状況は複数のWebフォーラムで確認されており、各フォーラムのコインというかたちではあるものの、実質おおよそ300円前後の価格で取引されている。
またtelegramでの配布も確認されている。
なお、公開されているサンプル情報が存在するが、パスワードはハッシュ化されておらず平文で保存されていることが確認できる。
クレジットカード情報がなくても被害が
本件ではクレジットカード情報の流出被害はない。
しかしながら、以下の点から実害が発生しているというTweetも多くみられる。
パスワードが平文で保存されているため、同様のアカウント情報を持つ他のWebサービスなどにログインされてしまうということが起こる。
「クレデンシャルスタッフィング攻撃」と呼ばれるもので、パスワードリスト攻撃・アカウントリスト攻撃とも呼ばれている。
クレデンシャルスタッフィング(パスワードリスト攻撃・アカウントリスト攻撃)とは?アカウントの使い回しはやめよう
アカウントの使い回しがなされている場合この被害が生れるため、一般にアカウントの使い回しは危険と言われているものの、実際に使いまわしている例は多く本件でも多くのユーザーが各サービスのパスワード変更を余儀なくされている。
またパスワードが違っていてもログイン試行されているケースは多く、そうした通知が届いているユーザーのTweetが数多く見て取れる。
登録していたユーザーが対策としてまずやるべきこと
まずはパスワードを使いまわしている場合は利用している各Webサービスのパスワードを変更する必要がある。特にAmazonのアカウントなどはクレジットカード情報をもとにAmazon Payが使えるなど、リスクがある。
Tweetを見ると、Amazon、Spotify、Apple ID、Microsoft アカウントなどでこうしたログイン試行が確認されている。
一部ディスクユニオンのパスワードを変えたいのにメンテナンスで変えられない、という人もいるが、ディスクユニオンのパスワードはすでに漏れており、仮に変えられる環境があったとしても無意味である。その後の利用を安全にするという意味では意味があるかもしれないが、いずれにせよ現状のパスワードはいったん無効化されると考えられる。
過去に利用していて現在は使っていないWebサービスなども、可能な限り思い出せる範囲で変更しておくべきだ。
そして、その際にはくれぐれも使い回しをしないように注意して頂きたい。
関連記事
カテゴリ:セキュリティニュース
タグ:アカウントリスト攻撃,クレデンシャルスタッフィング攻撃,ディスクユニオン,パスワードリスト攻撃,リスト型アカウントハッキング,個人情報流出
関連記事
人気記事
