ディノス・セシール 社「セシールオンラインショップ」への “なりすまし”による不正アクセス

株式会社ディノス・セシールは、同社通販サイト「セシールオンラインショップ」において、外部で不正に取得されたと思われる ID(メールアドレス)・パスワードを使った“なりすまし”による不正アクセスが発生し、利用者の情報が第三者によって閲覧された可能性があることが判明しましたとしています。

【経緯】

「セシールオンラインショップ」において、ID(メールアドレス)・パスワードを
使って複数回にわたり、“なりすまし”による不正アクセスが発生し、その結果、一部の利用者の情報に対して、不正にログインが行われました。


① ②の事象に関し、該当IP アドレスからのログイン状況について遡って調査を実施し、同アドレス から1 名のお客様情報に対し、8 月21 日(月)に2 回のログインが認められ、これを利用者本 人に確認したところ、ログインしていない旨が判明。この際、第三者により、当該お客様の登録情報(氏名、所有ポイント数)が閲覧された可能性と、お客様情報改ざん(第三者のクレジットカード情報を登録)が行われたことが、23 日(水)12 時頃判明。


②<8 月22 日に本サイトにて報告済み>
8 月22 日(火)2 時21~31 分に、同一のIP アドレス(日本国内)からの11 回の不正アクセスに
よって、1 件が不正ログインされ、お客様情報 1 名分(氏名・所有ポイント数)が第三者に閲覧
された可能性があることが、同日11 時頃判明。


③<7 月31 日に本サイトにてご報告済み>
7 月31 日(月)15 時01~02 分に、同一のIP アドレス(日本国内)からの11 回の不正アクセス
により、1 件が不正ログインされ、お客様情報1 名分(氏名・所有ポイント数)が第三者に閲覧
された可能性があることが、同日16 時頃判明。
なお、これらのお客様情報がファイルとして出力、転送及びダウンロードなどで、外部に流出していないことを確認済み。また、今回使われた ID(メールアドレス)・パスワードは弊社内からではなく、第三者が外部で不正に取得したと思われます。

【対応】

ログインされた利用者については、同様の被害を防ぐためセシールオンラインショップへのログインパスワードを初期化
・不正ログインが行われた特定IP アドレスからのアクセス監視強化
・本件事象を受け利用者に対し、セシールオンラインショップほか、弊社オンラインショップにおいて、
ID・パスワード管理徹底のお願いと注意喚起を掲出

<本件に関するお客様からのお問合せ先>
セシール コンタクトセンター 0120-70-8888(受付時間:午前9 時~午後9 時)
<本件に関する報道機関からのお問合せ先>
株式会社ディノス・セシール 広報室 菅谷、小森 Tel:03-6743-1114 以上

他で漏洩したIDを使って様々なサービスにログインを試みる攻撃の事をリストアタックと呼びます。ID、パスワードを使いまわししているユーザーが多いことを攻撃者も見越しているのです。特に、インターネットバンキングなど、破られるとクリティカルな被害に及ぶものについては絶対に認証情報を使いまわしてはいけません。パスワード生成器などのサービスもありますので出きるだけ強固なパスワードにしましょう。

詳細;株式会社ディノス・セシール

<