HOME コラム一覧 知って得するセキュリティのはなし  その16

知って得するセキュリティのはなし  その16

post_visual

ユニクロ・GUの通販サイトにリスト型不正ログイン攻撃46万件…氏名や住所、身体のサイズなど流出

1.このニュースをザックリ言うと

- 5月13日(日本時間)、ユニクロ・GUを傘下に持つファーストリテイリング社より、各社公式通販サイトのアカウント461,091件が不正ログインの被害を受けたと発表されました。

- 4月23日~5月10日にいわゆる「リスト型攻撃」を受けたことにより、ユーザの氏名・住所・電話番号・メールアドレス・性別・生年月日・購入履歴・クレジットカードの一部情報(カード番号の一部・名義人・有効期限。セキュリティコードは対象外)および、自身や家族の体のサイズといった情報が第三者に閲覧された可能性があるとされています。

- 同社では13日に被害を受けたアカウントのパスワードを無効化する等の対応を行っています。

2.執筆者からの所感等

- 今回の事件はWebサーバ自体からアカウント情報が流出したのではなく、他のサイトから流出したアカウントのリストを攻撃者が入手し、使用したとみられ、不正ログインの被害を受けたユーザは複数のサイトで同じID・パスワードを使い回していた可能性が高いようです。

- 「リスト型攻撃」が多発し始めた2014年以降、アカウントの保護においては、それまで常識とされていた「パスワードを定期的に変更する」こと以上に「簡単でなく推測されにくいパスワードを使う」「複数のサイトで使い回さない」ことが重要とされている他、2段階認証を使うこと等も推奨されています。

- 不特定多数のユーザが登録するようなサービスを運営していない場合でも、自組織で運用しているWeb・メールサーバに対し不正ログインの試行が行われる可能性も考えられますので、攻撃の兆候を検知および遮断できるよう、サーバの設定やUTM等によるIDS・IPS機能の有効化も検討すべきでしょう。

執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、サービスの運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

この記事のカテゴリ

この記事のシリーズ

知って得するセキュリティのはなし

記事の一覧を見る

関連リンク

知って得するセキュリティのはなし  その15

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら

コラム
/column/2019/img/thumbnail/img_33_s.jpg
- 5月13日(日本時間)、ユニクロ・GUを傘下に持つファーストリテイリング社より、各社公式通販サイトのアカウント461,091件が不正ログインの被害を受けたと発表されました。- 4月23日~5月10日にいわゆる「リスト型攻撃」を受けたことにより、ユーザの氏名・住所・電話番号・メールアドレス・性別・生年月日・購入履歴・クレジットカードの一部情報(カード番号の一部・名義人・有効期限。セキュリティコードは対象外)および、自身や家族の体のサイズといった情報が第三者に閲覧された可能性があるとされています。- 同社では13日に被害を受けたアカウントのパスワードを無効化する等の対応を行っています。
2019.05.29 15:19:54