「セシールオンラインショップ」にパスワードリスト型攻撃、不正ログイン成功 1 件のセシールクオリティ

　株式会社セシールは8月24日、同社が運営する通販サイト「セシールオンラインショップ」に外部で不正取得したと推測されるアカウント情報を用いた「なりすまし」による不正アクセスがあり、第三者に顧客情報が閲覧された可能性が判明したと発表した。

　これは8月23日に、「セシールオンラインショップ」に国内のIPアドレスからID（メールアドレス）、パスワードを使用して21回にわたる「なりすまし」による不正アクセスがあり、そのうち1件が不正ログインされたというもの。

　第三者に閲覧された可能性があるのは、顧客番号、氏名、住所、生年月日、性別、メールアドレス、保有ポイント、会員ランクを含む1名分の顧客情報。なお、顧客情報がファイルとして出力や転送及びダウンロードされていないことは確認済み。

　同社では不正ログインされた顧客IDについて、本件判明後にただちにログインできないように対応し、対象の顧客に連絡するとともに、不正アクセス元のIPアドレスからのアクセスをブロックしている。

　そもそもリスト型攻撃とは、どこかで昔盗まれてダークネットやサーフィスネットを漂流するクレデンシャルファイル等をかき集めて整理されるなどして行われることもあるため、攻撃を受けたサービス事業者には責任も落ち度もないことが多い。

　「セシールオンラインショップ」は2019年に6回、2020年に1回、悪意ある第三者からのパスワードリスト型攻撃を受けていたが、2020年11月6日を最後に被害の公表を行っておらず、1年近く第三者からの攻撃を早期発見し未然に防いだ可能性がある。

　過去の履歴を振り返っても、不正ログイン成功件数を最大6件に抑え込んでいる。また「セシールオンラインショップ」は事後対応やリリース報告も迅速で、コンシュマーサービス提供事業者として信頼感を醸成するものといえる。インシデントレポートを公表するたびごとに逆に安心感を訴求する結果になるという、これまでのセキュリティの常識においてあり得なかった事が「セシールオンラインショップ」において起こっている。

・2020年11月6日 不正アクセス試行 33回 ／ 第三者に閲覧された可能性 1件
・2019年11月21日 不正アクセス試行 16回 ／ 第三者に閲覧された可能性 1件
・2019年10月23日 不正アクセス試行 30回 ／ 第三者に閲覧された可能性 1件
・2019年9月25日 不正アクセス試行 17回 ／ 第三者に閲覧された可能性 1件
・2019年7月31日 不正アクセス試行 22回 ／ 第三者に閲覧された可能性 1件
・2019年3月28日 不正アクセス試行 2,929回 ／ 第三者に閲覧された可能性 6件
・2019年2月6日 不正アクセス試行 18回 ／ 第三者に閲覧された可能性 1件

　同社では引き続き、さらなるセキュリティレベルの向上策を検討するなどオンラインショップの信頼性向上に努めるとのこと。