ユニクロオンラインストアで個人情報漏洩　ユーザーにパスワードの変更をうながす

ユニクロが運営するオンラインストアサイト(ユニクロ公式オンラインストア、ジーユー公式オンラインストア)において、ユーザー本人以外の第三者による不正なログインが発生したことが、2019年5月10日に確認された。

同社では今後の調査の進捗に応じて対象件数や状況が変動する可能性があるとし、公式サイト上において現時点で確認している事実と同社の対応状況について掲載している。

氏名や購入履歴だけでなくカード情報の一部も漏洩か

今回の不正ログインは、2019年4月23日から5月10日にかけて、「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われ、現時点判明分で不正ログインされたアカウント数は、461,091件に上る。

◆1.不正ログインが確認されたユーザーアカウント数

ユニクロ公式オンラインストア・ジーユー公式オンラインストアに登録のある461,091件

◆2.閲覧された可能性があるユーザーの個人情報

・氏名（姓名、フリガナ）
・住所（郵便番号、市区郡町村、番地、部屋番号）
・電話番号、携帯電話番号
・メールアドレス
・性別、生年月日
・購入履歴、マイサイズに登録している氏名およびサイズ
・配送先の氏名（姓名、フリガナ）、住所、電話番号
・クレジットカード情報の一部
（カード名義人、有効期限、クレジットカード番号の一部）

※クレジットカード番号は、上4桁と下4桁以外は非表示

※VV番号（クレジットカードセキュリティコード）は、表示・保存されていないので漏えいの可能性は無いとしている。

◆3.対応

同社では該当するユーザーから「身に覚えのない登録情報変更の通知メールが届いた」という申し出があり、調査を進めたところ、2019年４月23日から５月10日にかけて、不正ログインが試行されたことを確認したとしている。

現在は、不正ログインが試行された通信元を特定してアクセスを遮断し、その他のアクセスについても監視を強化しているとしている。

個人情報が閲覧された可能性のある461,091件のユーザIDについては、同年5月13日にパスワードを無効化し、パスワードの再設定のお願いをメールで個別に連絡しおり、また本事案については警視庁に通報しているとしている。

他社サービスと違うパスワードの設定を

同社オンラインストアサイトを利用のユーザーは、不正ログインを防止するため、以下の点について協力をするよううながしている。

◆1.他社サービスとは異なるパスワードを設定する。

◆2.第三者が容易に推測できるパスワードを使用しない。

今回の不正ログインの手法は、他社サービスから流出した可能性のあるユーザーID・パスワードを利用した「リスト型アカウントハッキング（リスト型攻撃）」の手法で行われていると同社では推測している。

そのため、他社サービスと同じパスワードを設定している場合は、不正ログインの対象となる可能性がある。他社サービスと同じパスワードを設定しないことが、リスト型攻撃を防ぐ方法の1つだ。

本件に関して同社が個別に連絡を差し上げているユーザーに限らず、他社サービスと同一のユーザーID・パスワードを利用している人は、速やかにパスワードを変更すようお願いとしてアナウンスが行われている。

不正に対処するには企業だけでなくユーザーも自衛を

同社では、今回のアナウンスに際し次のようなコメントを出している。

「弊社は、お客様情報の保護を最優先事項と認識しており、この度の事態の発生を真摯に受け止め、不正ログインの監視強化など、より一層お客様が安全・安心にお買い物できる環境を整備してまいります」

ネット、特にECサービスの宿命として、アカウントを作成した上で購入することが避けられない面がある。それはユーザーにとっての利便性と、パーソナライズされたマーケティングを行う上でも重要な意義を持つが、同時に悪意ある攻撃者の標的ともなっていることを忘れるべきではないだろう。

サービス提供者がより高いセキュリティレベルの維持に努めることはもちろん、ユーザー側も常に自衛策をとることも必要となってきそうだ。