ヤマト運輸、クロネコメンバーズで3467件の不正ログイン、個人やクレカ情報など流出の可能性

ヤマト運輸、クロネコメンバーズで3467件の不正ログイン、個人やクレカ情報など流出の可能性

約3万件の攻撃を受けて3467件の不正ログインがあった「クロネコメンバーズ」

 ヤマト運輸は7月24日、同社の会員制サービス「クロネコメンバーズ」のウェブサイトに外部から約3万件のパスワードリスト攻撃という手法で、不正ログインが3467件に達したと発表した。閲覧された可能性のある項目は、クロネコID、メールアドレス、利用の端末種別(PCや携帯・スマートフォン)、氏名、氏名のふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報(カード番号の下4桁・有効期限・氏名)、アドレス帳情報(氏名・住所・電話番号)という。
 パスワードリスト攻撃とは、他社サービスで流出した可能性のあるIDとパスワードを使ってWebサービスにログインを試みる手法のこと。
 7月23日に特定IPアドレスから不正なログインがあり判明。緊急措置として、該当するIPアドレスからのログインを遮断するなどの対策を講じた。
 調査した結果、不正ログインに使われたID・パスワードは、同社で使われていないものが多数含まれており、他社サービスのID・パスワードを使ったパスワードリスト攻撃による不正ログインと判明した。
 対応策として、不正ログインのあったクロネコIDは、パスワードを変更しなければ使えないようにし、対象となる顧客には個別に案内するという。つまり、クロネコIDを入力して既存のパスワードが使えない場合は、不正ログインの対象になっている可能性がある。
 ヤマト運輸は、不正ログイン防止の観点から定期的なパスワードの変更を促し、パスワードを設定する際は(1)他のサービスで使っているパスワードの使用を控える、(2)極力、過去に使ったことのないパスワードを使う、(3)第三者が容易に推測できるパスワードの使用は控えるなどの注意を喚起している。

関連記事(外部サイト)