ユニクロ、約46万件の個人情報に不正アクセス--通販サイトで「リスト型攻撃」被害

　ファーストリテイリングとその傘下のユニクロ、ジーユーは5月14日、同社オンラインストアへの不正ログインが発生したと発表した。

　これは、「リスト型アカウントハッキング（リスト型攻撃）」と呼ばれるもので、他社サービスで漏えいしたIDやパスワードの情報をもとに、他のウェブサイトにログインを試みる手法。さまざまなウェブサービスでIDやパスワードを使い回している場合、リスト型攻撃の被害に遭遇する可能性が高まる。

　同社では、4月23日から5月10日にかけて、46万1091件のアカウントが不正ログインに被害に遭ったと報告。ユーザーから「身に覚えのない登録情報変更の通知メールが届いた」という申告があり、不正ログインの試行を確認したという。

　現在は、不正ログインが試行された通信元を特定してアクセスを遮断し、その他のアクセスについても監視を強化。個人情報が閲覧された可能性のある46万1091件のユーザIDについては、5月13日にパスワードを無効化し、パスワード再設定に関するメールを個別に連絡しているという。また、今回事案については警視庁に通報済みという。

　漏えいした情報は下記の通り。なお、クレジットカード番号は、上4桁と下4桁以外は非表示としているほか、クレジットカードのセキュリティコードは保存しておらず、漏えいの可能性はないとしている。

• ユーザーの氏名（姓名、フリガナ）
• ユーザーの住所（郵便番号、市区郡町村、番地、部屋番号）
• ユーザーの電話番号、携帯電話番号、メールアドレス、性別、生年月日、購入履歴、マイサイズに登録している氏名およびサイズ
• 配送先の氏名（姓名、フリガナ）、住所、電話番号
• クレジットカード情報の一部 （カード名義人、有効期限、クレジットカード番号の一部）

　同社では、他社サービスとは異なるパスワードの設定、第三者が容易に推測できるパスワードの不使用のほか、個別に連絡しているユーザーに限らず、他社サービスと同一のID・パスワードを使用している場合は速やかに変更するよう呼びかけている。