事故から学ぶ

ユニクロ・GUへ大規模なリスト型攻撃発生、顧客情報46万件超が流出か

事故概要

業種 ユニクロ
発生時期 2019/04/23~2019/05/10
漏えい人数 461,091人
事故概要

株式会社ファーストリテイリングは2019年5月13日、同社が運営するアパレルブランド「株式会社ジーユー」および「株式会社ユニクロ」にて、大規模な不正アクセスが発生したと発表した。
同社は被害状況の調査を進めており、記事発表時点で両ブランドのオンラインアカウント46万1,091件に影響が確認されたと発表。氏名や住所など登録情報だけでなく、一部クレジットカード情報も流出した可能性があるとしている。
ファーストリテイリングによると、2019年4月23日~2019年5月10日に不審な大量アクセスが発生。攻撃者は外部入手したパスワードリストを入力し、不正ログインを仕掛ける「リスト型攻撃」を用いて、サイバー攻撃を仕掛けたものと見られている。
攻撃を受けた同社は、大量アクセスの通信元を特定し遮断する措置を実施。閲覧された可能性のあるアカウントを一時的に凍結し、対象ユーザーに呼び掛けている状況。
インシデントは顧客から「身に覚えのない登録情報変更の通知メールが届いた」との連絡を受け発覚しており、一部では既に被害が生じているものと考えらる。

パスワードリスト攻撃とは、攻撃者がどこかで入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃。ネットユーザーの大半が複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法で、この攻撃は他の不正アクセスと異なり、正規のログイン方法を試みる手法。
今回の発表で明らかになった流出情報は、下記の通り。ただし、今回の発表は現時点での判明分に過ぎず、今後変動する可能性がある。
対象となるユーザー ユニクロ・ジーユーのオンラインサイト登録ユーザー
攻撃を受けた期間 2019年4月23日~2019年5月10日
対象件数 46万1,091件
流出の可能性がある登録情報 氏名・住所・電話番号・生年月日・性別・サイズ登録サービス「マイサイズ」のデータ・購入履歴
流出の可能性があるカード情報 カード名義人名・有効期限・カード番号の1部

引用元 ユニクロ

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
22-24 (第22条)委託先の監督 “社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

不正アクセスは、とくに有名サイトや大勢の会員サイトは毎日狙われており、その不正アクセスの手段も常に変化を遂げている。IT担当個人や部署だけではその知識量が不足することも知られており、安全性を担保するためには、専門サービス会社との連携をすべきである。

具体例:

ITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。職員教育とは「個人情報を守りましょう」という研修だけではないことを、職場の幹部自身が理解しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。