写真現像やカメラなどの販売、買取などを行うカメラのキタムラで知られる株式会社キタムラは6月15日、同社が運営する公式通販サイト「カメラのキタムラネットショップ」で外部から不正アクセスがあり、第三者に顧客の個人情報が閲覧された可能性があることを明らかにした。
サイトでは二段階認証や多要素認証などの不正アクセス防止策は講じられていなかったという。 閲覧された可能性があるのは、顧客の氏名や届け先住所、生年月日、電話番号、性別、メールアドレス、利用店舗、注文履歴、保有Tポイント残高など40万件ほどの個人情報。なお、同社では顧客のクレジットカード情報は保持していないとしている。
同社によると不正アクセスは4月4日から5月27日にかけて国外の複数のIPアドレスから顧客のメールアドレスとパスワードを利用し、会員になりすましてログインする不正アクセスが相次いで発生したとのこと。判明したのは5月28日で、その後も不正アクセスは継続して確認している。
同社によると不正アクセスは4月4日から5月27日にかけて国外の複数のIPアドレスから顧客のメールアドレスとパスワードを利用し、会員になりすましてログインする不正アクセスが相次いで発生したとのこと。判明したのは5月28日で、その後も不正アクセスは継続して確認している。
不正アクセスに利用されたメールアドレスとパスワードは、同社とは関係しない外部で不正に入手したものをリスト化したもの。それを用いた「リスト型攻撃」で顧客アカウントへ不正ログインしたとみられる。 キタムラは被害にあった顧客に対して、ログインパスワードを初期化したうえで、注意喚起とパスワードの再設定を促すメールを送った。また、引き続き特定のIPアドレスから不正アクセスがないか監視を強化しているという。
同社では、複数のサービスでのパスワードの使い回しを避けるよう呼びかけると共に「本件を厳粛に受け止め、外部の有識者の助言を踏まえ、更なるセキュリティレベルの向上策を講じ、再発防止に努めていく」としている。
同社では、複数のサービスでのパスワードの使い回しを避けるよう呼びかけると共に「本件を厳粛に受け止め、外部の有識者の助言を踏まえ、更なるセキュリティレベルの向上策を講じ、再発防止に努めていく」としている。
TEXT:セキュリティ通信 編集部