現在地

ディノス・セシールは6月8日、今月2日に発生した不正アクセスの原因について、外部調査会社による調査結果を公表した。「セシールオンラインショップ」の新規顧客登録申請時の「二重登録防止機能」を悪用した、リストの「スクリーニング」によるものだったことが判明したという。 

490人分の不正ログインが発生

「セシールオンラインショップ」で6月2日、中国国内の201のIPアドレスによる不正アクセスが発生した。不正アクセスの件数は1938件。490人分で不正ログインが成功した。

不正ログインの被害を受けた490人の顧客情報(氏名、所有ポイント数)が第三者に閲覧された可能性がある。クレジットカード情報が閲覧された可能性はないという。

ディノス・セシールは攻撃元のIP アドレスに対して自動遮断処理を行ったほか、プロバイダー単位のアクセス遮断対応を実施したとしている。 

不正ログインの手口は?

外部の調査機関であるTISに調査を依頼した結果、不正アクセスの手口は、「セシールオンラインショップ」の新規顧客登録申請時の「二重登録防止機能」を悪用したものであることが判明したという。

以下のような手段で不正アクセスの被害を受けた。

  1. 攻撃者は、外部で不正に入手したメールアドレスを用いて「セシール」のEC サイトで「新規顧客登録申請」を行った。
  2. すでに登録があるメールアドレスは登録できないようにする機能(二重登録防止機能)を悪用し、登録済みのメールアド レスを確認。
  3.  ECサイトで登録済みであることが確認ができたメールアドレスでリストを生成し、外部で別途不正に入手してあったパスワードを使って不正ログインを試行。 

深夜0時頃に16万件以上の登録申請

ディノス・セシールによると、6月2日午前0時頃から、16万5038件に上る新規顧客登録申請があったという。16万5038件のうち3533件は登録済みで、新規顧客登録ができなかった。不正アクセス1938件すべてが、3533件に含まれていたという。

同社は6月6日に不正アクセスの被害を公表。不正ログインの対象となった顧客には、希望に応じて新しい顧客IDでの再登録を実施している。今後、一層のセキュリティレベル向上策の検討や実施など、 再発防止に努めるとしている 。

この記事が役に立ったらシェア!
ニュース分類: 
記事カテゴリー: 

渡部 和章

ライトプロ株式会社 代表取締役

渡部 和章(わたなべ・かずあき)

新聞社で約7年半、記者を務めた後、2015年に編集プロダクションのライトプロを設立して代表に就任。編集者兼ライターとしても活動中。

趣味は料理と漫画を読むこと。東京都在住。1983年生まれ。

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
楽天株式会社 eBay(イーベイ) ecbeing.
[スポンサー]
株式会社アイル Wowma! クリームチームマーケティング合同会社 ユーザグラム