知って得するセキュリティのはなし その75
三越伊勢丹ECサイト等に不正ログイン…会員情報15,000件が閲覧された可能性
1.このニュースをざっくり言うと
- 8月6日(日本時間)、三越伊勢丹ホールディングスより、同社グループ運営のECサイト「三越伊勢丹オンラインストア」およびクレジットカード「エムアイカード」のWebサイトにおいて、不正ログインにより会員情報を閲覧された可能性があると発表されました。
- 被害を受けたのは、三越伊勢丹オンラインストア会員情報15,336件(氏名・住所・電話番号・メールアドレス・生年月日およびクレジットカード番号の下4桁等)と、エムアイカード会員情報3,583件(氏名・請求予定額および保有ポイント等)とされています。
- 不正ログインは7月6日~8月3日に海外のIPアドレスから行われ、会員からの「身に覚えのないログイン通知メールが届いた」という連絡で発覚したとのことで、他のWebサイトで流出したアカウント情報を悪用した、いわゆる「リスト型攻撃」によるものとされています。
2.執筆者からの所感等
- 同社では個々の対象ユーザーに対しメール連絡を行いパスワードの変更を依頼している他、不正ログインを行ったアクセス元を遮断する等、セキュリティ対策を強化しているとのことです。
- 様々なWebサービスにおいて、リスト型攻撃による大規模な不正ログインの事案が何年もの間続いており、例えばクレジットカード加盟店において安全なカード情報の取り扱いに関する具体的な対策のガイドラインが定められたのと同様、将来ECサイトに対し二段階認証等の対策を義務付けるといったガイドラインの策定が行われることが十分に考えられます。
- ECサイト側での対策が確立することを待つまでもなく、ユーザー側においても「複数のサービス間で全く同じパスワードを使い回さない」「推測されやすい簡単なパスワードを設定しない」こと等に注意し、今後も不正ログイン発生時に備え、各サービスに登録しているアカウント全てについて漏れなく管理を行うことが肝要です。
