「セシールオンラインショップ」にパスワードリスト型攻撃、33回で検知し遮断

株式会社ディノス・セシールは11月6日、同社通販サイト「セシールオンラインショップ」にて、パスワードリスト型攻撃による不正アクセスで顧客情報が閲覧された可能性が判明したと発表した。

これは11月4日に、同社が運営する「セシールオンラインショップ」に対し、国内のIPアドレスから外部で不正に取得されたと推測されるID（メールアドレス）とパスワードを使用して33回にわたって「なりすまし」による不正アクセスが行われ、そのうち1件が不正ログインされ顧客情報が第三者に閲覧された可能性が判明したというもの。

不正ログインに使用されたID、パスワードは同社から流出したわけではなく、また同社では会員に、他社サイトと異なるID・パスワード使用を呼びかけており、パスワードリスト型攻撃はサービス運営者には直接的な責任は無い、やっかいな問題だ。

閲覧された可能性があるのは、顧客番号、氏名、生年月日、性別、メールアドレス、保有ポイント、会員ランクを含む1名分の顧客情報。なお、これらの顧客情報がファイルとして出力、転送及びダウンロード等で外部流出していないことは確認済み。

同社では不正ログイン判明後、該当IDをログインできないよう対応し、当該顧客に連絡するとともに、不正アクセスが行われた特定IPからのアクセスをブロックした。

同社は2019年だけでも6回、悪意のある第三者にパスワードリスト型攻撃を受けていたが、2019年11月21日を最後に被害の公表を行っておらず、約1年間にわたって第三者からの攻撃を今回のように早期発見し未然に防いだ可能性がある。今回の第三者に閲覧された可能性も1件のみである。毎度律儀に発信される同社のリリースはインシデント報告でありながら、コンシュマーサービス提供事業者として信頼感を醸成するものといえる。

・2019年11月21日 不正アクセス試行 16回 ／ 第三者に閲覧された可能性 1件
・2019年10月23日 不正アクセス試行 30回 ／ 第三者に閲覧された可能性 1件
・2019年9月25日 不正アクセス試行 17回 ／ 第三者に閲覧された可能性 1件
・2019年7月31日 不正アクセス試行 22回 ／ 第三者に閲覧された可能性 1件
・2019年3月28日 不正アクセス試行 2,929回 ／ 第三者に閲覧された可能性 6件
・2019年2月6日 不正アクセス試行 18回 ／ 第三者に閲覧された可能性 1件

同社ではさらなるセキュリティレベルの向上策を検討し、オンラインショップの信頼性向上に引き続き努めるとのこと。