「ポンパレモール」がパスワードリスト攻撃の標的に、9749件のIDで不正ログインを確認

リクルートホールディングスは9月6日と7日の2日間、ショッピングモール「ポンパレモール」が第三者によるとみられる不正なログイン攻撃（パスワードリスト攻撃）を受けたことを明らかにした。

総不正アクセス数のうち、リクルートIDと一致した不正アクセスID数は3万1660件。本人になりすましてログインする「なりすましログイン」が確認されたID数は9749件。参照された可能性のある顧客情報は、氏名、住所、電話番号、メールアドレス、予約、購入履歴。

リクルートの調査の結果、ID・パスワードが漏えいしたという事実は検知していないという。クレジットカード情報の漏えいもない。

「なりすましログイン」が確認された顧客に対し、9月6日～7日にかけて、リクルートがパスワードの強制変更を実施。パスワードの再設定方法と問い合わせサポートデスクの案内を行った。

ログインは確認されていないが、不正アクセスIDとリクルートIDが合致した顧客に対してもメールで注意喚起をしている。

「パスワードリスト攻撃」は、攻撃者が何らかの方法で事前入手したIDとパスワードのリストを使用し、自動的に入力するプログラムなどを用いて、ログイン機能を持つECサイトなどでログインを試みる攻撃手法。近年、猛威を振るっている。

通販・ECでは過去に、三越伊勢丹、ディノスといった大手などが「パスワードリスト攻撃」の標的に合っている。