写真●佐川急便Webサイトのトップページに掲出された告知
[画像のクリックで拡大表示]

 佐川急便は2014年9月29日、同社が運営している会員制Webサービスがリスト型アカウントハッキング(パスワードリスト攻撃)と推測される不正アクセスを受け、最大約3万4000件の個人情報が流出した可能性があると発表した(写真)。

 国内では9月下旬から大手Webサイトを狙ったリスト型攻撃が続発しており、ヤマト運輸とNTTドコモが同様の攻撃を受けたことを公表している(関連記事1:クロネコWebサイトに不正ログイン、メールアドレスや住所が流出の可能性、関連記事2:NTTドコモの「docomo ID」への不正ログインが発覚、リスト型攻撃で)。

 佐川急便によれば、不正ログインが分かったのは28日。同社Webサービスシステムにおいてサーバーの高負荷状態が発生したため、緊急でアクセス解析を行ったところ、特定IPアドレスからのリスト型攻撃と見られる大量不正ログインの痕跡が見つかったという。同社では、「会員が使用していないID・パスワードによるログイン試行が多数見つかった」ことを、同攻撃を受けたと推測する根拠として挙げている。

 攻撃により不正ログインを受けた件数は合計「3万4161件」で、内訳は個人会員が3万3501件、法人会員が660件となっている。閲覧された可能性のある情報は、会員ID、メールアドレス、氏名、氏名カナ、郵便番号、住所、電話番号、性別の8項目。

 対応策として同社では、該当IPアドレスからのログインを遮断したうえで、「個人情報を不正に閲覧された可能性のある会員IDについては、パスワードを変更しなければ使用できないように対策を講じた」という。また、不正ログイン対象となったユーザーに対しては個別に連絡するとしている。