カメラのキタムラネットショップにパスワードリスト攻撃か、会員個人情報を不正アクセスした第三者に閲覧された可能性

公開日:2020/6/15

カメラのキタムラは15日、カメラのキタムラネットショップ以外のサービスから不正に入手したメールアドレス・パスワードを用いた「なりすましログイン」が発生したと発表した。

その際、ユーザーの個人情報が不正アクセスをした第三者に閲覧された可能性があるという。

経緯としては、2020年4月4日(土)～5月27日(水)にかけて複数の国外IPアドレスより、メールアドレス・パスワードを使ったなりすましによる不正アクセスが発生。

そのうち、複数名の会員が不正にログインされ、会員情報を不正にアクセスした第三者に閲覧された可能性があることが同年5月28日(木)に判明したもの。

その後も継続して不正アクセスを確認しているという。

不正にログインされたユーザーについては、同様の被害を防ぐため同社がログインパスワードを初期化。

メールでの注意喚起及びパスワード再設定の連絡を行っている。

また、不正アクセスをした特定のIPアドレスからのアクセスがないか、監視を強化しているという。

カメラのキタムラによると第三者に閲覧された可能性があるユーザー情報は以下の通り。

■第三者に閲覧された可能性のある情報

【お客様姓名・フリガナ・郵便番号・住所（お届け先住所）・生年月日・電話番号・性別・メールアドレス・ニックネーム・ご利用の店舗最大4店・ご注文履歴・保有Tポイント残高】

なお、同社はユーザーのクレジットカード情報は保持していないため、閲覧された可能性のある情報にクレジットカード情報は含まれていない。

パスワードリスト攻撃（クレデンシャルスタッフィング攻撃・アカウントリスト攻撃）

本攻撃はパスワードリスト攻撃（クレデンシャルスタッフィング攻撃・アカウントリスト攻撃）によるものだが、日本企業を対象としたパスワードリスト攻撃としては4月にも任天堂をターゲットとした同様の攻撃が発生している。