「カメラのキタムラ」にリスト型攻撃で不正アクセス、個人情報が閲覧された可能性
2020/6/17 10:00 
キタムラは6月15日、ECサイト「カメラのキタムラ ネットショップ」で“なりすまし”による不正アクセスが発生したと発表した。
不正アクセスの手法は、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃「リスト型アカウントハッキング(リスト型攻撃)」。
悪意の第三者が外部で不正に取得したと考えられるメールアドレス・パスワードを使い、「カメラのキタムラ ネットショップ」に不正ログインを試行。複数人の会員情報で不正アクセスが行われ、顧客情報が閲覧された可能性があるという。
2020年4月4日~5月27日にかけて、日本国外からの複数のIPアドレスで不正アクセスがあったとしている。
第三者の不正アクセスによって閲覧された可能性がある顧客情報は、姓名・フリガナ・郵便番号・住所(届け先住所)・生年月日・電話番号・性別・メールアドレス・ニックネーム・利用する店舗最大4店・注文履歴・保有Tポイント残高。
キタムラでは同様の被害を防ぐため、不正ログインされた顧客に対してキタムラ側でログインパスワードを初期化し、メールでの注意喚起・パスワード再設定の連絡を実施。不正アクセスをした特定のIPアドレスからのアクセスがないか、監視を強化している。
近年、「リスト型攻撃」の被害に遭うECサイトが相次いでいる。ハードオフコーポレーションは2020年1月に通販サイト「ハードオフネットモール」で「リスト型アカウントハッキング」による不正なログインがあったと発表。
ファーストリテイリングは2019年5月、ECサイト「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」において、顧客以外の第三者による不正なログインが発生したと発表。家電量販店のコジマは2019年5月、第三者によって外部で不正取得されたと思われる他サイトの会員ID・パスワードを用いて、何者かがECサイト「コジマネット」に不正アクセスしたことが発覚したと発表している。
「リスト型アカウントハッキング(リスト型攻撃)」への対応策
「リスト型アカウントハッキング(リスト型攻撃)」による不正ログインへの対応策については、総務省が2013年に次のような施策を事業者に向けて公表している。
攻撃を予防する対策
- ID・パスワードの使い回しに関する注意喚起の実施
サービス毎に異なるID・パスワードを設定するよう利用者に注意喚起する - パスワードの有効期間設定
パスワードに有効期限を設定し、利用者に定期的に変更させる - パスワードの履歴の保存
数世代前に使用したパスワードへの変更を認めないようにする - 二要素認証の導入
ID・パスワード以外の認証要素(ワンタイムパスワードなど)を追加する - ID・パスワードの適切な保存
サービス運営事業者において暗号化などID・パスワードの適切な保存を行う - 休眠アカウントの廃止
長期間利用実績の無いアカウントをデータも含めて削除する - 推測が容易なパスワードの利用拒否
パスワード・ポリシーを定め、推測が容易なパスワードの利用を拒否する
攻撃による被害の拡大を防ぐ対策
- アカウントロックアウト
同一のIDに対して一定の閾値以上の認証エラーが発生した際にアカウントを一時停止する - 特定のIPアドレスからの通信の遮断
特定のIPアドレスから閾値以上のログイン要求が発生した際に、当該I Pアドレスからの通信を遮断する - 普段とは異なるIPアドレスからの通信の遮断
通常ログインされているIPアドレスとは大きく異なるIPアドレスからのログイン要求が発生した際に、当該IPアドレスからの通信を遮断する - ログイン履歴の表示
ログイン履歴を保存し、利用者がアカウントの利用実績を認識できるように設定する
総務省が公表している資料は「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」。
また、独立行政法人情報処理推進機構(IPA)では、Webサイトで「不正ログイン対策特集」を公開している。
