株式会社ニトリホールディングス 【第 2 報】「ニトリアプリ」への不正アクセスによる個人情報流出の可能性に関するお詫びとお知らせ 2022 年 9 月 22 日


平素より、弊社グループをご愛顧いただき、誠にありがとうございます。

9 月 20 日(火)に公式サイトにて、「ニトリアプリ」への不正アクセスによる個人情報流出の可能性に関するお詫びとお知らせを掲載しましたが、その後の対応状況についてお知らせいたします。

弊社グループのサービスをご利用中のお客様をはじめ多くの関係者の皆様には多大なるご迷
惑とご心配をおかけしますことを深くお詫び申し上げます。

■ 対応状況
9 月 20 日(火)午後 8 時、不正ログインされた可能性があるお客様のアカウントに対するパスワードの無効化を完了し、同日、パスワードを無効にさせていただいたお客様には、メールで本件に関するお詫びとお知らせのご連絡をさせていただきました。

メールでご連絡させていただいておりますお客様におかれましては、重ねて深くお詫び申し上げますとともに、大変お手数ではございますが、次回、弊社グループのサービスをご利用いただく際には、パスワードの再設定をお願いいたします。

なお、今回の不正ログインは、当社以外のサービスから流出したユーザーID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測しております。再設定の際には、これまでご利用頂いていたパスワードや、すでに他のサービスなどで設定されているパスワードのご利用は避けていただきますようお願いいたします。

また、本件に関しましては、個人情報保護委員会、および警察への報告を実施しております。

弊社は、今回の事態を重く受け止め、より一層、厳重な情報セキュリティ体制の構築と強化を図り、安全性の確保に努めてまいります。



【株式会社ニトリホールディングス 「ニトリアプリ」への不正アクセスによる個人情報流出の可能性に関するお詫びとお知らせ 2022 年 9 月 20 日】

この度、弊社のスマートフォンアプリ「ニトリアプリ」から、ニトリネットのニトリアプリ認証プログラムに対し、第三者が、不正に弊社グループ以外のサービスから入手した大量のユーザーID(メールアドレス)とパスワード情報を用いて、なりすましログインを行ったと思われる現象が発生していることが確認されました。

弊社グループのサービスをご利用中のお客様をはじめ多くの関係者の皆様には多大なるご迷
惑とご心配をおかけしますことを深くお詫び申し上げます。

現時点で判明している状況と、弊社対応について、下記のとおりご報告いたします。

■ 経緯
本件現象は、本年 9 月 15 日(木)から発生し、これにより一部会員様の会員情報が漏洩した可能性があることが、9 月 19 日(月)に判明いたしました。

今回の不正ログインは、当社以外のサービスから流出したユーザーID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測しております。

現在、不正ログインされた可能性があるお客様のアカウントに対し、順次パスワードのリセットを行っております。

また、新規の不正ログインを防止するために、セキュリティ機器の強化を行い、加えて更なる強化策を検討しております。

■ お客様ヘのお願い
弊社でパスワードをリセットさせていただいた会員番号をお持ちのお客様へは、メールでご連絡させていただきます。大変お手数ではございますが、次回、弊社グループのサービスをご利用いただく際には、パスワードの再設定をお願いいたします。

その際、以前ご利用頂いていたパスワードや、すでに他のサービスなどで設定されているパスワードのご利用は避けていただきますようお願いいたします。

なお、弊社グループではクレジットカード決済に必要な情報は弊社グループのシステム上に保持しておりません。したがって、今回の不正ログインによりクレジットカード決済が実行されることはございませんのでご安心ください。

■ 情報が漏洩した可能性があるお客様
・ ニトリネットにて会員登録されたお客様
・ ニトリアプリにて会員登録されたお客様
・ シマホネットにてニトリポイント利用手続きをされたお客様
・ シマホアプリにて会員登録されたお客様

■現時点で判明している不正ログインを受けた可能性のあるユーザーID 数
約 13 万 2,000 アカウント

■不正ログインの期間
2022 年 9 月 15 日(木)~9 月 20 日(火)

■第三者に閲覧された可能性のある情報
メールアドレス、パスワード、会員番号、ニトリメンバーズの保有ポイント数、氏名、電話番号、住所、生年月日、性別、建物種別(戸建、集合住宅)、エレベーター有無、一部が目隠しされたクレジットカード番号、有効期限

弊社は、今回の事態を重く受け止め、より一層、厳重な情報セキュリティ体制の構築と強化を図り、安全性の確保に努めてまいります。

お客様や関係者の皆様には、ご迷惑とご心配をおかけいたしますことを、重ねて深くお詫び申し上げます。