知って得するセキュリティのはなし その16
ユニクロ・GUの通販サイトにリスト型不正ログイン攻撃46万件…氏名や住所、身体のサイズなど流出
1.このニュースをザックリ言うと
- 5月13日(日本時間)、ユニクロ・GUを傘下に持つファーストリテイリング社より、各社公式通販サイトのアカウント461,091件が不正ログインの被害を受けたと発表されました。
- 4月23日~5月10日にいわゆる「リスト型攻撃」を受けたことにより、ユーザの氏名・住所・電話番号・メールアドレス・性別・生年月日・購入履歴・クレジットカードの一部情報(カード番号の一部・名義人・有効期限。セキュリティコードは対象外)および、自身や家族の体のサイズといった情報が第三者に閲覧された可能性があるとされています。
- 同社では13日に被害を受けたアカウントのパスワードを無効化する等の対応を行っています。
2.執筆者からの所感等
- 今回の事件はWebサーバ自体からアカウント情報が流出したのではなく、他のサイトから流出したアカウントのリストを攻撃者が入手し、使用したとみられ、不正ログインの被害を受けたユーザは複数のサイトで同じID・パスワードを使い回していた可能性が高いようです。
- 「リスト型攻撃」が多発し始めた2014年以降、アカウントの保護においては、それまで常識とされていた「パスワードを定期的に変更する」こと以上に「簡単でなく推測されにくいパスワードを使う」「複数のサイトで使い回さない」ことが重要とされている他、2段階認証を使うこと等も推奨されています。
- 不特定多数のユーザが登録するようなサービスを運営していない場合でも、自組織で運用しているWeb・メールサーバに対し不正ログインの試行が行われる可能性も考えられますので、攻撃の兆候を検知および遮断できるよう、サーバの設定やUTM等によるIDS・IPS機能の有効化も検討すべきでしょう。