Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「ディノスオンラインショップ」に不正ログイン - 情報改ざんや不正注文が発生

通信販売サイト「ディノスオンラインショップ」に対してなりすましによる不正アクセスがあり、顧客情報の改ざんや不正な注文が行われていたことがわかった。

同サイトを運営するディノス・セシールによれば、11月4日と同月5日に、利用者以外の第三者によって不正にログインされる被害が発生したもの。不正ログインされた顧客の1人が登録情報の変更に気付き、12月3日に同社へ連絡したことで問題が発覚した。

11月4日に発生した不正ログインでは、顧客1人の住所や電話番号、携帯電話番号が改ざんされ、勤務先情報を閲覧された可能性がある。

また翌5日には、前日と同一のセッションで別の顧客1人に関する住所や、電話番号、ファックス番号が改ざんされ、顧客とは関係ないクレジットカードによる注文が行われていた。注文は、不正なクレジットカードの利用だったとしてキャンセル処理が行われていたという。このほか、失敗したものの、別に1件不正ログインが試みられた形跡が確認されている。

同社では、7月から9月にかけて断続的に不正ログインによる不正アクセスを受けているが、今回の不正ログインについても前回までと同様に、他サービスで取得されたアカウント情報を使用した「パスワードリスト攻撃」であるとの見解を示している。

同社では、対象となる顧客の会員登録を抹消。不正アクセス元の特定IPアドレスからのアクセスをブロックした。また利用者に対し、パスワードの使い回しをしないなど、パスワード管理の徹底を呼びかけている。

お詫びと訂正:本記事初出時の記載について、サイトの名称に誤りがありました。ご迷惑をおかけした読者、関係者のみなさまにお詫びし、訂正いたします。

(Security NEXT - 2017/12/14 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「セシール」不正ログイン、攻撃リストの顧客ID合致は事前抽出が原因 - 情報流出を否定
ニコニコ狙う不正ログイン攻撃、数百万回規模の試行 - 分散したIPアドレスより攻撃
CAD製品のユーザー登録サイトに不正アクセス - エーアンドエー
ドメイン管理にメールによる追加認証をオプションで提供 - GMO
中部大でランサムウェア被害 - 不正ログイン後にインストールか
フジテレビのチケットサイトで不正ログイン - 一部で不正購入も
セシール通販サイトに再度不正ログイン - ポイント不正交換や情報改ざんが発生
東ガスの料金照会サイトに再度PWリスト攻撃 - ポイント交換被害も
会員サイトへPWリスト攻撃、一部改でざんやポイント使用 - ロート製薬
東京ガスの料金照会サイトにPWリスト攻撃 - 10万回超のログイン試行