株式会社ファーストリテイリングは2019年5月13日、同社が運営するアパレルブランド「株式会社ジーユー」および「株式会社ユニクロ」にて、大規模な不正アクセスが発生したと発表した。
同社は被害状況の調査を進めており、記事発表時点で両ブランドのオンラインアカウント46万1,091件に影響が確認されたと発表。氏名や住所など登録情報だけでなく、一部クレジットカード情報も流出した可能性があるとしている。
ファーストリテイリングによると、2019年4月23日～2019年5月10日に不審な大量アクセスが発生。攻撃者は外部入手したパスワードリストを入力し、不正ログインを仕掛ける「リスト型攻撃」を用いて、サイバー攻撃を仕掛けたものと見られている。
攻撃を受けた同社は、大量アクセスの通信元を特定し遮断する措置を実施。閲覧された可能性のあるアカウントを一時的に凍結し、対象ユーザーに呼び掛けている状況。
インシデントは顧客から「身に覚えのない登録情報変更の通知メールが届いた」との連絡を受け発覚しており、一部では既に被害が生じているものと考えらる。

パスワードリスト攻撃とは、攻撃者がどこかで入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃。ネットユーザーの大半が複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法で、この攻撃は他の不正アクセスと異なり、正規のログイン方法を試みる手法。
今回の発表で明らかになった流出情報は、下記の通り。ただし、今回の発表は現時点での判明分に過ぎず、今後変動する可能性がある。
対象となるユーザー ユニクロ・ジーユーのオンラインサイト登録ユーザー
攻撃を受けた期間 2019年4月23日～2019年5月10日
対象件数 46万1,091件
流出の可能性がある登録情報 氏名・住所・電話番号・生年月日・性別・サイズ登録サービス「マイサイズ」のデータ・購入履歴
流出の可能性があるカード情報 カード名義人名・有効期限・カード番号の1部