「ニトリアプリ」に不正アクセス、リスト型攻撃で約13万件強の顧客情報が閲覧された可能性

ニトリホールディングスは9月20日、スマートフォンアプリ「ニトリアプリ」において、顧客以外の第三者による不正なログインが発生したと発表した。

第三者が不正にニトリグループ以外のECサービスなどから入手した大量のユーザーID（メールアドレス）とパスワード情報を用い、なりすましログインを行ったと思われる現象が発生していることを確認した。

不正ログインは、「リスト型アカウントハッキング（リスト型攻撃）」の手法で行われたと推測している。

「リスト型アカウントハッキング（リスト型攻撃）」は、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃。

9月20日時点で判明している不正ログインされたアカウント数は約13万2000アカウント。不正ログインの期間は9月15日から9月20日。

第三者に閲覧された可能性のある情報は、メールアドレス、パスワード、会員番号、ニトリメンバーズの保有ポイント数、氏名、電話番号、住所、生年月日、性別、建物種別（戸建、集合住宅）、エレベーター有無、一部が目隠しされたクレジットカード番号、有効期限。

ニトリHDでは、不正ログインされた可能性があるユーザーアカウントに対し、順次パスワードのリセットを実施。パスワードの再設定を呼びかけると同時に、次のように注意喚起をしている。

以前ご利用頂いていたパスワードや、すでに他のサービスなどで設定されているパスワードのご利用は避けていただきますようお願いいたします。

「リスト型アカウントハッキング（リスト型攻撃）」への対応策

「リスト型アカウントハッキング（リスト型攻撃）」による不正ログインへの対応策については、総務省が2013年に次のような施策を事業者に向けて公表している。

攻撃を予防する対策

• ID・パスワードの使い回しに関する注意喚起の実施
  サービス毎に異なるID・パスワードを設定するよう利用者に注意喚起する
• パスワードの有効期間設定
  パスワードに有効期限を設定し、利用者に定期的に変更させる
• パスワードの履歴の保存
  数世代前に使用したパスワードへの変更を認めないようにする
• 二要素認証の導入
  ID・パスワード以外の認証要素（ワンタイムパスワードなど）を追加する
• ID・パスワードの適切な保存
  サービス運営事業者において暗号化などID・パスワードの適切な保存を行う
• 休眠アカウントの廃止
  長期間利用実績の無いアカウントをデータも含めて削除する
• 推測が容易なパスワードの利用拒否
  パスワード・ポリシーを定め、推測が容易なパスワードの利用を拒否する

攻撃による被害の拡大を防ぐ対策

• アカウントロックアウト
  同一のIDに対して一定の閾値以上の認証エラーが発生した際にアカウントを一時停止する
• 特定のIPアドレスからの通信の遮断
  特定のIPアドレスから閾値以上のログイン要求が発生した際に、当該I Pアドレスからの通信を遮断する
• 普段とは異なるIPアドレスからの通信の遮断
  通常ログインされているIPアドレスとは大きく異なるIPアドレスからのログイン要求が発生した際に、当該IPアドレスからの通信を遮断する
• ログイン履歴の表示
  ログイン履歴を保存し、利用者がアカウントの利用実績を認識できるように設定する