インプレス ビジネスメディア
Web担トップ » 外部サイト情報 » ネットショップ担当者フォーラム » 「カメラのキタムラ」にリスト型攻撃で不正アクセス、個人情報が閲覧された可能性 | ネットショップ担当者フォーラム

「カメラのキタムラ」にリスト型攻撃で不正アクセス、個人情報が閲覧された可能性 | ネットショップ担当者フォーラム

ネットショップ担当者フォーラム - 2020年6月17日(水) 10:00
このページは、外部サイト ネットショップ担当者フォーラム の情報をRSSフィード経由で取得して表示しているため、記事の一部分しか表示されていなかったり、画像などが正しく表示されなかったり、オリジナル記事が意図したデザインと異なっていたりする場合があります。
完全な状態のオリジナル記事は 「「カメラのキタムラ」にリスト型攻撃で不正アクセス、個人情報が閲覧された可能性」 からご覧ください。

キタムラは6月15日、ECサイト「カメラのキタムラ ネットショップ」で“なりすまし”による不正アクセスが発生したと発表した。

不正アクセスの手法は、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃「リスト型アカウントハッキング(リスト型攻撃)」。

悪意の第三者が外部で不正に取得したと考えられるメールアドレス・パスワードを使い、「カメラのキタムラ ネットショップ」に不正ログインを試行。複数人の会員情報で不正アクセスが行われ、顧客情報が閲覧された可能性があるという。

2020年4月4日~5月27日にかけて、日本国外からの複数のIPアドレスで不正アクセスがあったとしている。

キタムラは6月15日、ECサイト「カメラのキタムラ ネットショップ」で“なりすまし”による不正アクセスが発生したと発表ECサイトでのお知らせ(画像は編集部がキャプチャ)

第三者の不正アクセスによって閲覧された可能性がある顧客情報は、姓名・フリガナ・郵便番号・住所(届け先住所)・生年月日・電話番号・性別・メールアドレス・ニックネーム・利用する店舗最大4店・注文履歴・保有Tポイント残高。

キタムラでは同様の被害を防ぐため、不正ログインされた顧客に対してキタムラ側でログインパスワードを初期化し、メールでの注意喚起・パスワード再設定の連絡を実施。不正アクセスをした特定のIPアドレスからのアクセスがないか、監視を強化している。

近年、「リスト型攻撃」の被害に遭うECサイトが相次いでいる。ハードオフコーポレーションは2020年1月に通販サイト「ハードオフネットモール」で「リスト型アカウントハッキング」による不正なログインがあったと発表。

ファーストリテイリングは2019年5月、ECサイト「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」において、顧客以外の第三者による不正なログインが発生したと発表。家電量販店のコジマは2019年5月、第三者によって外部で不正取得されたと思われる他サイトの会員ID・パスワードを用いて、何者かがECサイト「コジマネット」に不正アクセスしたことが発覚したと発表している。

「リスト型アカウントハッキング(リスト型攻撃)」への対応策

「リスト型アカウントハッキング(リスト型攻撃)」による不正ログインへの対応策については、総務省が2013年に次のような施策を事業者に向けて公表している。

攻撃を予防する対策
  • ID・パスワードの使い回しに関する注意喚起の実施
    サービス毎に異なるID・パスワードを設定するよう利用者に注意喚起する
  • パスワードの有効期間設定
    パスワードに有効期限を設定し、利用者に定期的に変更させる
  • パスワードの履歴の保存
    数世代前に使用したパスワードへの変更を認めないようにする
  • 二要素認証の導入
    ID・パスワード以外の認証要素(ワンタイムパスワードなど)を追加する
  • ID・パスワードの適切な保存
    サービス運営事業者において暗号化などID・パスワードの適切な保存を行う
  • 休眠アカウントの廃止
    長期間利用実績の無いアカウントをデータも含めて削除する
  • 推測が容易なパスワードの利用拒否
    パスワード・ポリシーを定め、推測が容易なパスワードの利用を拒否する
攻撃による被害の拡大を防ぐ対策
  • アカウントロックアウト
    同一のIDに対して一定の閾値以上の認証エラーが発生した際にアカウントを一時停止する
  • 特定のIPアドレスからの通信の遮断
    特定のIPアドレスから閾値以上のログイン要求が発生した際に、当該I Pアドレスからの通信を遮断する
  • 普段とは異なるIPアドレスからの通信の遮断
    通常ログインされているIPアドレスとは大きく異なるIPアドレスからのログイン要求が発生した際に、当該IPアドレスからの通信を遮断する
  • ログイン履歴の表示
    ログイン履歴を保存し、利用者がアカウントの利用実績を認識できるように設定する

総務省が公表している資料は「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」。

また、独立行政法人情報処理推進機構(IPA)では、Webサイトで「不正ログイン対策特集」を公開している。

※このコンテンツはWebサイト「ネットショップ担当者フォーラム」で公開されている記事のフィードに含まれているものです。
オリジナル記事:「カメラのキタムラ」にリスト型攻撃で不正アクセス、個人情報が閲覧された可能性
Copyright (C) IMPRESS CORPORATION, an Impress Group company. All rights reserved.

瀧川 正実
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

  1. AI活用で生産性3倍! こんなに使えたら本当にすごい! 目からウロコの使い方|デジハリ教授が解説
  2. 意識しているポイント経済圏は楽天、満足度が高いのはPayPay。「au経済圏」が躍進【MMD研調べ・2025年1月】
  3. こんなに違った県民性! 「衣料」購入費トップ東京に続いた意外?な2位は?【明治安田総研調べ】
  4. ECサイトで商品詳細ページがインデックスされないときの対処方法【SEO情報まとめ】
  5. SEO施策の盲点かも? 今こそ見直したい「4つの内部施策」【2/26講演】
  6. 『いちばんやさしいCanva教育版の教本 人気講師が教える学校で役立つ時短デザイン』を3名様にプレゼント
  7. タクシーの約半額、“相乗り”サービス「GOシャトル」 運転手不足や渋滞解消になるか
  8. キヤノンMJ、カルビー、@cosme、中川政七商店などが登壇するオンラインセミナー 【2/25(火)・26(水)開催| 広告主・マーケター限定】
  9. JR東日本がマーケティング本部を組織改正、「Suica・決済システム部門」を新たに設置
  10. 「ミエルカSEO」に「かんたんAI記事生成」機能、正確性の高いSEO記事を簡単に作成

今日の用語

ディスプレイ広告
広告の種類。インターネット Web ブラウザ上に表示される広告の総称。バナー広告 ...→用語集へ

インフォメーション

RSSフィード

Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[SILVER SPONSOR]
株式会社ミツエーリンクスRepro株式会社
[SPONSOR]
株式会社日本レジストリサービス株式会社キノトロープ株式会社サイズプライム・ストラテジー株式会社