パスワードを忘れた? アカウント作成
13914033 story
情報漏洩

ユニクロやGUに不正ログイン46万件、住所など流出の可能性 14

ストーリー by hylom
リスト型は対処が難しい 部門より

やや旧聞となるが、衣料品店「ユニクロ」や「GU」を手がけるファーストリテイリングが、同社の通販サイトに不正アクセスがあったことを明らかにした毎日新聞INTERNET Watch日経xTECH)。

他のサービスなどから流出したID・パスワードのリストを使ってログインを試みる、いわゆる「リスト型攻撃」によって不正ログインを試みるという手法で、攻撃は4月23日から5月10日にかけて行われたという。顧客からの問い合わせで発覚した。不正ログインによって氏名や住所、クレジットカード番号の一部といった登録情報が閲覧された可能性があるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 461,091件がパスワードを使い回ししていた。
    ということなんですね。

    どうだろ、必ずパスワードは使いまわししないという人が含まれていたら、
    このサービス自体のパスワードが漏れたかのような件数にも思えるけども。
    そんなもんなんですかね。

    • あ、なんか書き換えているうちに変な投稿になってしまってすみません。

      >他社サービスから流出した可能性のあるユーザID・パスワードを利用
      461,091件がパスワードを使い回ししていたというのは人数が多すぎて、
      このサービス自体のパスワードが漏れたかのような件数にも思えます。

      全利用者数の何割なんだろう。

      「ハッシュ化していないパスワードが漏れたという確認は出来ていないことだし、
      とりあえすリスト型攻撃があったという点だけ発表しとこ・・・」
      という誤魔化しだったら嫌だな。

      必ずパスワードは使いまわししないという人が含まれていたら怪しいですね。

      利用者なので不安に感じます。

      親コメント
    • by Anonymous Coward

      >461,091件がパスワードを使い回ししていた。ということなんですね。
      >このサービス自体のパスワードが漏れたかのような件数にも思えるけども。
      私も同じこと考えました。

      んで、ほんとにリスト型攻撃だったら、その46万件のユーザーは他のサービスでも
      同じID・パスワードを使いまわししてる可能性は大だから、被害はこんなもんじゃ
      ないんじゃないかな?

      • by Anonymous Coward

        リスト型攻撃がサクサク試せる仕組みだった、GW中で発見が遅れたなどなど。
        いろいろ重なってそうなってしまったとか?

        2013年の時点で1000万人らしいよ。
        https://www.uniqlo.com/jp/corp/pressrelease/2013/06/060413_mobile.html [uniqlo.com]

        使いまわしてる人の数なら、そのぐらいは余裕でいると思う。

        • by Anonymous Coward

          使いまわしてる人の数なら、そのぐらいは余裕でいると思う。

          1000万人の4.6%ならそうかもしれないけど、その会員集団を丸ごと包み込む量のリストを犯人は所持していたのだろうか?

  • by Anonymous Coward on 2019年05月21日 15時52分 (#3618468)

    アプリは入れていたので被害状況を確認した。
    登録した内容はメアドと誕生日だが、誕生日はサバ読みしていたため無問題。

    今後Gmailに変なのが来るのかー 嫌だなー

    • by Anonymous Coward

      ログインIDがメアドなんだから、不正ログインされたって事は、すでに漏れてたって事なのでは?

      • by Anonymous Coward

        どこから、漏れたんやろうな

    • by Anonymous Coward

      同じくアプリ入れていたので被害状況を確認……あれ?
      設定欄空っぽ……登録してなかったってことかー!

      一応、今後もGmailに変なのは来ないが、違うところからは既にいっぱい来てる(ぇ

  • 来てないんだけど。
    個人情報が閲覧された可能性のある46万1091件のアカウントではないということなんだろうか。

    UNIQLOは、ほぼ毎日のようにSPAM投げてくるので、Rspamdさんが荒ぶってしまった可能性がかなりある。
    12.55とか、15.80とか、日常的に高得点叩き出してるような会社から、パスワードの再設定と登録内容確認の依頼メールなんて送ってきたら余計にね。

  • by Anonymous Coward on 2019年05月21日 17時09分 (#3618500)

    総数でどれだけ登録してるか知りませんが、そんなにヒットするものなの?
    しかも、攻撃者が登録情報を変更して、その通知で発覚したらしいけど、その行動になんの意味があるんだろう?
    通販狙いにしては、高額商品もないし、転売需要も低そうだから、名寄せデータベースの強化の方を狙ってたのかな。
    ただ、情報収集が目的なら、そもそも変更かける意味が無いんだよな。
    ゴールデンウィーク中狙ったのは、その間アクセス数が上がっても怪しまれない上に、すぐには対処されないと踏んだからなのかな。

    意味の分からない不気味な攻撃の方が、ダイレクトにアカウントハックされるより嫌ですよね。

  • by Anonymous Coward on 2019年05月21日 23時22分 (#3618756)

    通販は確かに手軽で便利だけど、
          店頭で、いつもニコニコ現金払い
    に勝る安全性はない。

    移動中の事故とか、監視カメラの脅威の方が
    まだマシ?

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...