Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「ディノスオンラインショップ」に不正ログイン - 情報改ざんや不正注文が発生

通信販売サイト「ディノスオンラインショップ」に対してなりすましによる不正アクセスがあり、顧客情報の改ざんや不正な注文が行われていたことがわかった。

同サイトを運営するディノス・セシールによれば、11月4日と同月5日に、利用者以外の第三者によって不正にログインされる被害が発生したもの。不正ログインされた顧客の1人が登録情報の変更に気付き、12月3日に同社へ連絡したことで問題が発覚した。

11月4日に発生した不正ログインでは、顧客1人の住所や電話番号、携帯電話番号が改ざんされ、勤務先情報を閲覧された可能性がある。

また翌5日には、前日と同一のセッションで別の顧客1人に関する住所や、電話番号、ファックス番号が改ざんされ、顧客とは関係ないクレジットカードによる注文が行われていた。注文は、不正なクレジットカードの利用だったとしてキャンセル処理が行われていたという。このほか、失敗したものの、別に1件不正ログインが試みられた形跡が確認されている。

同社では、7月から9月にかけて断続的に不正ログインによる不正アクセスを受けているが、今回の不正ログインについても前回までと同様に、他サービスで取得されたアカウント情報を使用した「パスワードリスト攻撃」であるとの見解を示している。

同社では、対象となる顧客の会員登録を抹消。不正アクセス元の特定IPアドレスからのアクセスをブロックした。また利用者に対し、パスワードの使い回しをしないなど、パスワード管理の徹底を呼びかけている。

お詫びと訂正:本記事初出時の記載について、サイトの名称に誤りがありました。ご迷惑をおかけした読者、関係者のみなさまにお詫びし、訂正いたします。

(Security NEXT - 2017/12/14 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

WAONのポイント不正移行、被害者数を上方修正 - 個人情報流出の可能性も
WAONサイトに「パスワードリスト攻撃」 - 40人でポイント被害
カード会員向けサイトにPWリスト攻撃、アカウント945件がログイン許す - アプラス
四国電力の会員サービスに不正ログイン - 149人でポイント交換被害
「dアカウント」への「PWリスト攻撃」、攻撃規模は明らかにせず - 個人情報流出は否定
「eoID」で6458件の不正ログイン被害 - 盆休みに約126万回の試行
アンケートサイトが不正ログインを検知 - 他所流出のリストを悪用か
複数IPよりニコニコにPWリスト攻撃 - 5月に続き注意喚起
ニコニコ狙う不正ログイン攻撃、数百万回規模の試行 - 分散したIPアドレスより攻撃
「シャレード文庫」メルマガ会員のアカウント情報が流出 - 二見書房