Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「ディノスオンラインショップ」に不正ログイン - 情報改ざんや不正注文が発生

通信販売サイト「ディノスオンラインショップ」に対してなりすましによる不正アクセスがあり、顧客情報の改ざんや不正な注文が行われていたことがわかった。

同サイトを運営するディノス・セシールによれば、11月4日と同月5日に、利用者以外の第三者によって不正にログインされる被害が発生したもの。不正ログインされた顧客の1人が登録情報の変更に気付き、12月3日に同社へ連絡したことで問題が発覚した。

11月4日に発生した不正ログインでは、顧客1人の住所や電話番号、携帯電話番号が改ざんされ、勤務先情報を閲覧された可能性がある。

また翌5日には、前日と同一のセッションで別の顧客1人に関する住所や、電話番号、ファックス番号が改ざんされ、顧客とは関係ないクレジットカードによる注文が行われていた。注文は、不正なクレジットカードの利用だったとしてキャンセル処理が行われていたという。このほか、失敗したものの、別に1件不正ログインが試みられた形跡が確認されている。

同社では、7月から9月にかけて断続的に不正ログインによる不正アクセスを受けているが、今回の不正ログインについても前回までと同様に、他サービスで取得されたアカウント情報を使用した「パスワードリスト攻撃」であるとの見解を示している。

同社では、対象となる顧客の会員登録を抹消。不正アクセス元の特定IPアドレスからのアクセスをブロックした。また利用者に対し、パスワードの使い回しをしないなど、パスワード管理の徹底を呼びかけている。

お詫びと訂正:本記事初出時の記載について、サイトの名称に誤りがありました。ご迷惑をおかけした読者、関係者のみなさまにお詫びし、訂正いたします。

(Security NEXT - 2017/12/14 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

なりすましによる不正ログインを確認 - TSUTAYA
約1万件の契約者IDで不正ログイン - セゾン自動車火災保険
ディノス通販サイトに1605回のログイン試行 - 41件で不正ログイン
フィッシング被害者などで不正取引が発生 - レイクALSA
メールアカウントに不正ログイン、外部宛に不審メール - 拓殖大
「マイナビ転職」にPWリスト攻撃 - 履歴書21万人分に不正ログイン
LINEにPWリスト攻撃 - 2段階認証未適用の問合フォームが標的に
PWリスト攻撃が約10万回、約1500件が実在し半数超でログイン許す - ヌーラボ
公共施設予約システムへの不正ログイン試行で告訴 - 川崎市
セシール通販サイトに33件のPWリスト攻撃 - アカウント1件がログイン許す