インプレス ビジネスメディア
Web担トップ » 外部サイト情報 » ネットショップ担当者フォーラム » ECサイトへのパスワードリスト攻撃が増えている? 事業者がとるべき対策は? | ネットショップ担当者フォーラム

ECサイトへのパスワードリスト攻撃が増えている? 事業者がとるべき対策は? | ネットショップ担当者フォーラム

ネットショップ担当者フォーラム - 2020年1月16日(木) 10:00
このページは、外部サイト ネットショップ担当者フォーラム の情報をRSSフィード経由で取得して表示しているため、記事の一部分しか表示されていなかったり、画像などが正しく表示されなかったり、オリジナル記事が意図したデザインと異なっていたりする場合があります。
完全な状態のオリジナル記事は 「ECサイトへのパスワードリスト攻撃が増えている? 事業者がとるべき対策は?」 からご覧ください。

顧客本人以外の第三者から「リスト型アカウントハッキング(リスト型攻撃)」によって不正なログイン攻撃を受けるECサイトが増えている。

ハードオフコーポレーションは1月10日、通販サイト「ハードオフネットモール」において、「リスト型アカウントハッキング」による不正なログインがあったと発表した。

不正ログインが確認された顧客のアカウント数は、「ハードオフネットモール」に登録している149件。

「リスト型アカウントハッキング(リスト型攻撃)」は、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃。

「リスト型アカウントハッキング(リスト型攻撃)」は、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃パスワードリスト攻撃による被害のイメージ図(IPAのサイトから編集部がキャプチャ)

「ハードオフネットモール」で閲覧された可能性のある顧客の個人情報は次の通り。

  • 氏名(姓名、フリガナ)
  • 住所(郵便番号、市区郡町村、番地、部屋番号)
  • 電話番号、携帯電話番号、メールアドレス、性別、職業、生年月日、購入履歴
  • 配送先の氏名(姓名、フリガナ)、住所、電話番号
  • クレジットカード情報の一部(カード名義人、有効期限、クレジットカード番号の一部)
    *クレジットカード番号は、下3桁以外は非表示としており、保存していない。

不正ログインのあったIDは、パスワードを変更しなければ使用できないように対策を講じた。対象の顧客には個別に案内している。不正ログインが試行された通信元を特定してアクセスを遮断し、その他のアクセスについても監視を強化。また、警察には通報済み。

ハードオフコーポレーションはプレスリリースで、消費者に「他社サービスとは異なるパスワードを設定する」「第三者が容易に推測できるパスワードを使用しない」ことを呼びかけている。

近年、「リスト型攻撃」の被害に遭うECサイトが相次いでいる。ファーストリテイリングは2019年5月、ECサイト「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」において、顧客以外の第三者による不正なログインが発生したと発表。家電量販店のコジマは2019年5月、第三者によって外部で不正取得されたと思われる他サイトの会員ID・パスワードを用いて、何者かがECサイト「コジマネット」に不正アクセスしたことが発覚したと発表している。

「リスト型アカウントハッキング(リスト型攻撃)」への対応策

「リスト型アカウントハッキング(リスト型攻撃)」による不正ログインへの対応策については、総務省が2013年に次のような施策を事業者に向けて公表している。

攻撃を予防する対策
  • ID・パスワードの使い回しに関する注意喚起の実施
    サービス毎に異なるID・パスワードを設定するよう利用者に注意喚起する
  • パスワードの有効期間設定
    パスワードに有効期限を設定し、利用者に定期的に変更させる
  • パスワードの履歴の保存
    数世代前に使用したパスワードへの変更を認めないようにする
  • 二要素認証の導入
    ID・パスワード以外の認証要素(ワンタイムパスワードなど)を追加する
  • ID・パスワードの適切な保存
    サービス運営事業者において暗号化などID・パスワードの適切な保存を行う
  • 休眠アカウントの廃止
    長期間利用実績の無いアカウントをデータも含めて削除する
  • 推測が容易なパスワードの利用拒否
    パスワード・ポリシーを定め、推測が容易なパスワードの利用を拒否する
攻撃による被害の拡大を防ぐ対策
  • アカウントロックアウト
    同一のIDに対して一定の閾値以上の認証エラーが発生した際にアカウントを一時停止する
  • 特定のIPアドレスからの通信の遮断
    特定のIPアドレスから閾値以上のログイン要求が発生した際に、当該I Pアドレスからの通信を遮断する
  • 普段とは異なるIPアドレスからの通信の遮断
    通常ログインされているIPアドレスとは大きく異なるIPアドレスからのログイン要求が発生した際に、当該IPアドレスからの通信を遮断する
  • ログイン履歴の表示
    ログイン履歴を保存し、利用者がアカウントの利用実績を認識できるように設定する

総務省が公表している資料は「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」。

※このコンテンツはWebサイト「ネットショップ担当者フォーラム」で公開されている記事のフィードに含まれているものです。
オリジナル記事:ECサイトへのパスワードリスト攻撃が増えている? 事業者がとるべき対策は?
Copyright (C) IMPRESS CORPORATION, an Impress Group company. All rights reserved.

石居 岳
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

  1. QRコード決済の利用率1位は「PayPay」、クレジットカードでは「○○カード」が圧倒的【1616調べ】
  2. Gmailへのメールが届かなくなる? 2024年6月までにやるべき3つの対応
  3. QRコード決済、約2人に1人が「PayPay」を利用。満足度トップは「楽天ペイ」【MMD研究所調べ】
  4. 伝わるWebサイトをつくる! ユニバーサルデザインの基本と具体的な改善方法
  5. 25年卒人気企業ランキング、理系は3年連続で「ソニーグループ」「味の素」が1位・2位に。文系は2年連続であの“大手メーカー”がトップ【マイナビ調べ】
  6. Googleビジネスプロフィールで効果的な写真30選(後編:商品/サービス・人間/感情のアイデア15)
  7. サントリーのウェブアクセシビリティ改善プロジェクト:適合レベルAA達成と進め方
  8. こんな部下は困る! 「やる気がない」「指示待ち」を上回った1位は「○○○がない」【ネクストレベル調べ】
  9. Googleビジネスプロフィールで効果的な写真30選(前編:外観や設備などのアイデア15)
  10. 日経ビジネス電子版、5年ぶりのリニューアル:3つの”タイム”を軸に編集体制・コンテンツも変更

今日の用語

robots.txt
ロボット型の検索エンジンが自分のページを登録しないようにするためにサイト管理者が ...→用語集へ

インフォメーション

RSSフィード

Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[GOLD SPONSOR]
株式会社日本レジストリサービス
[SPONSOR]
株式会社キノトロープSitecore株式会社ミツエーリンクス株式会社電通デジタル株式会社サイズ