著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。

 2019年5月第3週の注目ニュースは3件。最初は、ファーストリテイリングの通販サイトに対する不正アクセスを取り上げる。

ユニクロに不正ログイン、2週間以上も被害を受け続ける(5月13日)

 ユニクロやジーユーを展開するファーストリテイリングは、同社が運営する通販サイトへの不正アクセス被害を発表した。リスト型攻撃による不正ログインの被害で、被害件数は46万1091件。4月23日から5月10日までの2週間以上も被害を受け続けた。

通販サイトへの不正アクセスを公開したファーストリテイリング
(出所:ファーストリテイリング)

 リスト型攻撃は、別のサービスから流出したIDとパスワードを使って不正ログインを試みる攻撃。ユーザーが複数のサービスで同じパスワードを使用すると、ログインを許してしまう。

 同社は、身に覚えのない通知が届いたという連絡をユーザーから受けて事態に気づいたという。通知の内容は「登録情報を変更した」というものだった。

 同社では被害を受けたユーザーのパスワードをリセットするとともに、該当ユーザーに対してパスワードの再設定をお願いするメールを出したとしている。

 ところが、被害を受けていないユーザーのパスワードもリセットした可能性が出てきた。同社から、運用の不手際によってパスワードをリセットしたため再設定してほしいという旨のメールを受け取ったという報告が、Twitter上に複数見つかっている。

 本件について同社広報は、「関係のない一部のユーザーのパスワードをリセットしたのは事実」と認めた。

 同社は、不正ログインを実行したと思われる送信元のリストを作成し、その送信元からログインされたユーザーのパスワードをリセットした。ところが送信元を再度調べたところ、正常なアクセスしかなかった送信元がリストに含まれていたことが判明したという。「無関係でリセットしてしまったユーザーには大変申し訳ない」(広報)と話した。

https://www.fastretailing.com/jp/group/news/1905132000.html

この先は会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら