ユニクロやGUに不正ログイン46万件、住所など流出の可能性

ユニクロやGUに不正ログイン46万件、住所など流出の可能性 14

ストーリー by hylom 2019年05月21日 15時41分
リスト型は対処が難しい部門より

やや旧聞となるが、衣料品店「ユニクロ」や「GU」を手がけるファーストリテイリングが、同社の通販サイトに不正アクセスがあったことを明らかにした（毎日新聞、INTERNET Watch、日経xTECH）。

他のサービスなどから流出したID・パスワードのリストを使ってログインを試みる、いわゆる「リスト型攻撃」によって不正ログインを試みるという手法で、攻撃は4月23日から5月10日にかけて行われたという。顧客からの問い合わせで発覚した。不正ログインによって氏名や住所、クレジットカード番号の一部といった登録情報が閲覧された可能性があるという。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索14コメント Log In/Create an Account

他社サービスから流出した可能性のあるユーザID・パスワードを利用 (スコア:2)

by kcg (26566) on 2019年05月21日 17時47分 (#3618531) ホームページ日記

461,091件がパスワードを使い回ししていた。
ということなんですね。
どうだろ、必ずパスワードは使いまわししないという人が含まれていたら、
このサービス自体のパスワードが漏れたかのような件数にも思えるけども。
そんなもんなんですかね。
- Re:他社サービスから流出した可能性のあるユーザID・パスワードを利用 (スコア:2)
  
  by kcg (26566) on 2019年05月21日 19時26分 (#3618600) ホームページ日記
  
  あ、なんか書き換えているうちに変な投稿になってしまってすみません。
  ＞他社サービスから流出した可能性のあるユーザID・パスワードを利用
  461,091件がパスワードを使い回ししていたというのは人数が多すぎて、
  このサービス自体のパスワードが漏れたかのような件数にも思えます。
  全利用者数の何割なんだろう。
  「ハッシュ化していないパスワードが漏れたという確認は出来ていないことだし、
  とりあえすリスト型攻撃があったという点だけ発表しとこ・・・」
  という誤魔化しだったら嫌だな。
  必ずパスワードは使いまわししないという人が含まれていたら怪しいですね。
  利用者なので不安に感じます。
  
  シェア
  
  親コメント
  - Re:他社サービスから流出した可能性のあるユーザID・パスワードを利用 (スコア:1)
    
    by No.5 (48684) on 2019年05月21日 19時42分 (#3618614)
    
    一応サイト利用者…と言いつつ、登録した事自体ほとんど忘れていたような有様ですが、ですがメールは来ていませんね。
    パスワードの使いまわしはしていないので、多分対象外なんだろうなと思いつつ様子見。
    
    シェア
    
    親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ＞461,091件がパスワードを使い回ししていた。ということなんですね。
  ＞このサービス自体のパスワードが漏れたかのような件数にも思えるけども。
  私も同じこと考えました。
  んで、ほんとにリスト型攻撃だったら、その46万件のユーザーは他のサービスでも
  同じID・パスワードを使いまわししてる可能性は大だから、被害はこんなもんじゃ
  ないんじゃないかな？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    リスト型攻撃がサクサク試せる仕組みだった、GW中で発見が遅れたなどなど。
    いろいろ重なってそうなってしまったとか？
    2013年の時点で1000万人らしいよ。
    https://www.uniqlo.com/jp/corp/pressrelease/2013/06/060413_mobile.html [uniqlo.com]
    使いまわしてる人の数なら、そのぐらいは余裕でいると思う。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      使いまわしてる人の数なら、そのぐらいは余裕でいると思う。
      1000万人の4.6%ならそうかもしれないけど、その会員集団を丸ごと包み込む量のリストを犯人は所持していたのだろうか？
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        >電子メールアドレスとパスワードのユニークな組み合わせは11億6,025万件以上だという。
        https://security.srad.jp/story/19/01/19/222253/ [security.srad.jp]
        全員とは言わないがこんな状況だしね。
サイト上では登録していなかったが (スコア:0)

by Anonymous Coward on 2019年05月21日 15時52分 (#3618468)

アプリは入れていたので被害状況を確認した。
登録した内容はメアドと誕生日だが、誕生日はサバ読みしていたため無問題。
今後Gmailに変なのが来るのかー　嫌だなー
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ログインIDがメアドなんだから、不正ログインされたって事は、すでに漏れてたって事なのでは？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    どこから、漏れたんやろうな
- Re: (スコア:0)
  
  by Anonymous Coward
  
  同じくアプリ入れていたので被害状況を確認……あれ？
  設定欄空っぽ……登録してなかったってことかー！
  一応、今後もGmailに変なのは来ないが、違うところからは既にいっぱい来てる（ぇ
パスワードの再設定と登録内容確認の依頼メールを個別に送信した (スコア:0)

by Anonymous Coward on 2019年05月21日 16時09分 (#3618478)

来てないんだけど。
個人情報が閲覧された可能性のある46万1091件のアカウントではないということなんだろうか。
UNIQLOは、ほぼ毎日のようにSPAM投げてくるので、Rspamdさんが荒ぶってしまった可能性がかなりある。
12.55とか、15.80とか、日常的に高得点叩き出してるような会社から、パスワードの再設定と登録内容確認の依頼メールなんて送ってきたら余計にね。
リスト型で46万件ヒット？ (スコア:0)

by Anonymous Coward on 2019年05月21日 17時09分 (#3618500)

総数でどれだけ登録してるか知りませんが、そんなにヒットするものなの？
しかも、攻撃者が登録情報を変更して、その通知で発覚したらしいけど、その行動になんの意味があるんだろう？
通販狙いにしては、高額商品もないし、転売需要も低そうだから、名寄せデータベースの強化の方を狙ってたのかな。
ただ、情報収集が目的なら、そもそも変更かける意味が無いんだよな。
ゴールデンウィーク中狙ったのは、その間アクセス数が上がっても怪しまれない上に、すぐには対処されないと踏んだからなのかな。
意味の分からない不気味な攻撃の方が、ダイレクトにアカウントハックされるより嫌ですよね。
オンラインの危うさ (スコア:0)

by Anonymous Coward on 2019年05月21日 23時22分 (#3618756)

通販は確かに手軽で便利だけど、
店頭で、いつもニコニコ現金払い
に勝る安全性はない。
移動中の事故とか、監視カメラの脅威の方が
まだマシ？

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

ユニクロやGUに不正ログイン46万件、住所など流出の可能性 14

ユニクロやGUに不正ログイン46万件、住所など流出の可能性 More ログイン

他社サービスから流出した可能性のあるユーザID・パスワードを利用 (スコア:2)

Re:他社サービスから流出した可能性のあるユーザID・パスワードを利用 (スコア:2)

Re:他社サービスから流出した可能性のあるユーザID・パスワードを利用 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

サイト上では登録していなかったが (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

パスワードの再設定と登録内容確認の依頼メールを個別に送信した (スコア:0)

リスト型で46万件ヒット？ (スコア:0)

オンラインの危うさ (スコア:0)

スラド