大阪のホームページ制作会社の勉強用ブログ

WEB・ITの最新ニュースブログ

セキュリティー

ユニクロとGU(ジーユー)のECサイトが不正アクセスされる

投稿日:

2019年5月14日に、株式会社ファーストリテイリングは、同社が運営するネットショップの「ユニクロ公式オンラインストア」と「GU(ジーユー)オンラインストア」が、不正アクセスされ、サイバー攻撃者に461,091件もの個人情報が閲覧された可能性があると発表いたしました。

今回は、ユニクロとGUのネットショップへの不正アクセスについてのニュースをご紹介いたします。

2019年5月のユニクロ・GUへの不正アクセスについて

2019年5月に発表された「ユニクロ公式オンラインストア」と「GUオンラインストア」への不正アクセスは、2019年4月23日から5月10日にかけて、リスト型アカウントハッキング(リスト型攻撃)と呼ばれる手法で行われた可能性があり、ファーストリテイリングにウェブサイトユーザから身に覚えのない登録情報変更の通知メールが届いたと連絡があり、同社が調査を実施したところ、不正ログインが試行されたことを確認できたようです。

リスト型アカウントハッキングとは、攻撃対象とは別のウェブサイトで漏えいしたIDとパスワードのリストを用い、攻撃対象のウェブサイトへのログインを試みる手法になります。

このリスト型アカウントハッキングによる不正アクセスは、有名な事例としては、「SNSのmixi」や「動画サービスniconico」、「無料ブログameba」などが過去にリスト型アカウントハッキングにより不正アクセスが行われたことがあります。

今回のユニクロとGUの不正アクセスにより閲覧された可能性があるのは、「氏名」と「住所」、「電話番号」、「携帯番号」、「メールアドレス」、「性別」、「生年月日」、「購入履歴」、「マイサイズに登録している氏名およびサイズ」、「配送先の氏名と住所、電話番号」、「クレジットカード情報の一部」になります。

株式会社ファーストリテイリングの対応

今回の不正ログインを受け、株式会社ファーストリテイリングでは、不正ログインが試行された通信を特定してアクセスを遮断することや、その他のアクセスも監視を強化すること、個人情報が閲覧された可能性がある461,091人のユーザに対しては、5月13日にパスワードを無効化し、メールでパスワードの再設定依頼を行っているようです。

リスト型アカウントハッキングの被害を受けないために

リスト型アカウントハッキングのターゲットは、基本的にはIDとパスワードを使いまわしているユーザになります。

そのため、ユーザが行う対策としては、以下のようなものがあります。

IDとパスワードを使い回さない

IDとパスワードを使い回してしまうと、リスト型アカウントハッキングのターゲットになってしまうため、ウェブサイトやアプリなどごとに、IDとパスワードを設定することがお薦めです。

特に、パスワードを作成する際には、数字や大文字、小文字を含んだ意味のない文字列で作成するようにし、IDやパスワードを忘れないように、エクセルやメモ帳で管理するようにします。

過去に利用したパスワードを利用しない

パスワードの再設定時などに、過去に利用したパスワードを設定することも、非常にリスクが高く、サイバー攻撃者にそのパスワードのリストがすでに知られている可能性があります。

利用していないアカウントの削除

昔は利用していたけれども、現在は利用していないアカウントを放置していると、万が一不正ログインをされても、不正ログインに気が付かなかったり、対応が遅れてしまうことがあります。

そのため、現在は利用していないアカウントは、削除するようにしなくてはなりません。

ウェブサイト管理者が行う対策

ウェブサイトの管理者が行うべきリスト型アカウントハッキングの対策法をご紹介いたします。

また、2013年に総務省がインターネットサービス提供事業者向けのリスト型アカウントハッキングについての対策法を公開していますので、そちらも合わせてご確認ください。

> 総務省のリスト型アカウントハッキングの対策法はこちら

ID・パスワードの使い回しに関する注意喚起の実施

会員登録やパスワード変更画面で、他のサービスとIDやパスワードを使い回していないかどうかのチェックボックスを設置し、ユーザに注意喚起を行います。

また、使い回した場合のリスクなども合わせて紹介することで、より効果的なセキュリティー対策とすることが可能です。

パスワードの有効期限を設定

まだまだ、自分からセキュリティー対策を行ってくれるユーザは少ないと思われるため、ウェブサイト管理者側で、パスワードに有効期限を設け、ユーザが定期的にパスワードの変更を行うようにします。

過去に利用したパスワードへの変更不可

過去に利用したことがあるパスワードを利用してしまうと、すでにサイバー攻撃者に漏えいしている可能性があるため、一度登録したパスワードは、登録不可としなくてはなりません。

二要素認証の導入

ワンタイムパスワードなどを利用して、IDとパスワード以外の認証も設けることで、より安全性を高めることが可能です。

IDとパスワードの暗号化

IDとパスワードを暗号化して、データベースなどに格納しておくことで、万が一ハッキングを受けた際においても、安全性を高めることが可能です。

休眠アカウントの廃止

長期間、利用がないユーザには、メールで案内をし、一定期間返事がない場合は、IDの削除を行うことで、ユーザの安全性を高めることが可能になります。

推測が可能なパスワードを拒否

パスワードを設定する際に、誕生日などの他の会員情報から簡単に推測できるようなパスワードを拒否することで、安全性を高めることが可能です。

一定回数以上のエラーはアカウントロック

一定回数以上、パスワードを間違えたユーザのアカウントをロックします。

ただし、他のユーザが簡単にIDを知ることができるサービスにおいては、難しい対策かもしれません。

普段とは異なるIPでのログインにはメール連絡

普段とは違うIPアドレスでログインを行った場合は、ユーザに対してログインをしたかどうかの確認メールを送信します。

ログイン履歴の表示

ログイン履歴を閲覧できるページを用意しておくことで、不正アクセスがあったかどうかをユーザが閲覧することが可能です。

中小企業のセキュリティー対策

大企業であれ、中小企業であれ、ホームページを制作する際に、セキュリティー対策を行うことは、必須であると言っても過言ではありません。

もちろん、一般的なお問い合わせフォームや、CMSなどであれば、ホームページ制作会社がしっかりとセキュリティー対策を行ってくれますが、それだけではなく、今回のようなリスト型アカウントハッキング対策は、どうしても別途予算が必要になる対策ばかりになるため、段階的にセキュリティー対策を実施することがお薦めです。

セキュリティー対策を行っても、直接的にウェブサイトの成果が向上することはありませんが、ユーザが安心して利用できるホームページを制作することは、中長期的に見たときには必ず良い結果を得ることができます。

まとめ

ユニクロとGUのECサイトが不正アクセスされたニュースをご紹介いたしましたが、自分のホームページは個人情報を取り扱っていないので、安心だと決めつけるのではなく、普段からセキュリティーについて検討しておくことは非常に重要です。

例えば、マルウェアをばらまき、ソースコードを改ざんし、改ざんされたウェブサイトを閲覧したユーザのPCが感染するような攻撃であったり、ワードプレスの脆弱性を悪用して、ソースコードを改ざんするような攻撃は、無差別型と呼ばれるものになり、ウェブサイト自体に個人情報を取り扱っていないウェブサイトでも感染し、ユーザにさまざまな被害を与えます。

ぜひ、この機会に自社のウェブサイトのセキュリティーについて、再検討されてみてはいかがでしょうか。

-セキュリティー

Copyright© WEB・ITの最新ニュースブログ , 2021 All Rights Reserved Powered by STINGER.