事故から学ぶ

「ニトリアプリ」にパスワードリスト型攻撃、約13万2,000アカウントが閲覧された可能性

事故概要

業種 民間企業
発生時期 2022/9/15
漏えい人数 132000
事故概要

株式会社ニトリホールディングスは9月20日、「ニトリアプリ」への不正アクセスによる個人情報流出について発表した。

これは同社のスマートフォンアプリ「ニトリアプリ」から、ニトリネットのニトリアプリ認証プログラムに対し、第三者が外部サービスから不正に取得したと推測される大量のユーザーID(メールアドレス)とパスワード情報を用いたパスワードリスト型攻撃を確認したというもの。

パスワードリスト型攻撃があったのは9月15日から20日で、約13万2,000アカウントが不正ログインを受けた可能性がある。漏えいの対象となるのは、ニトリネットに会員登録した顧客、ニトリアプリに会員登録した顧客、シマホネットでニトリポイント利用手続きを行った顧客、シマホアプリで会員登録した顧客のメールアドレス、パスワード、会員番号、ニトリメンバーズの保有ポイント数、氏名、電話番号、住所、生年月日、性別、建物種別(戸建、集合住宅)、エレベーター有無、一部が目隠しされたクレジットカード番号、有効期限を含む個人情報。

同社では不正ログインの可能性がある顧客のアカウントに対し、順次パスワードリセットを行うとともに、メールで連絡を行っている。

同社では今後、厳重な情報セキュリティ体制の構築と強化を図り、安全性の確保に努めるとのこと。

引用元 ScanNetSecurity

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストにある要求ルール:

■ 推奨対策

対策:

具体例:

タグ

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。