Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「ディノスオンラインショップ」に不正ログイン - 情報改ざんや不正注文が発生

通信販売サイト「ディノスオンラインショップ」に対してなりすましによる不正アクセスがあり、顧客情報の改ざんや不正な注文が行われていたことがわかった。

同サイトを運営するディノス・セシールによれば、11月4日と同月5日に、利用者以外の第三者によって不正にログインされる被害が発生したもの。不正ログインされた顧客の1人が登録情報の変更に気付き、12月3日に同社へ連絡したことで問題が発覚した。

11月4日に発生した不正ログインでは、顧客1人の住所や電話番号、携帯電話番号が改ざんされ、勤務先情報を閲覧された可能性がある。

また翌5日には、前日と同一のセッションで別の顧客1人に関する住所や、電話番号、ファックス番号が改ざんされ、顧客とは関係ないクレジットカードによる注文が行われていた。注文は、不正なクレジットカードの利用だったとしてキャンセル処理が行われていたという。このほか、失敗したものの、別に1件不正ログインが試みられた形跡が確認されている。

同社では、7月から9月にかけて断続的に不正ログインによる不正アクセスを受けているが、今回の不正ログインについても前回までと同様に、他サービスで取得されたアカウント情報を使用した「パスワードリスト攻撃」であるとの見解を示している。

同社では、対象となる顧客の会員登録を抹消。不正アクセス元の特定IPアドレスからのアクセスをブロックした。また利用者に対し、パスワードの使い回しをしないなど、パスワード管理の徹底を呼びかけている。

お詫びと訂正:本記事初出時の記載について、サイトの名称に誤りがありました。ご迷惑をおかけした読者、関係者のみなさまにお詫びし、訂正いたします。

(Security NEXT - 2017/12/14 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

求人掲載企業の管理ページに不正アクセス - 求人情報サイト
ケーズデンキ通販サイトに不正ログイン - 約300万円の不正注文
統合DBシステムで不正ログイン被害、改ざんも - 上智大
ネット取引サービスに不正ログイン、株式不正売却も - SMBC日興証券
「エン転職」にパスワードリスト攻撃 - 約25万人がアクセス許す
業務用スマホでフィッシング被害 - 歯科用機器メーカー
英語検定試験「TOEIC」の申込サイトに大量のログイン試行
「ショップチャンネル」で不正ログイン注文 - 「後払い」を悪用
2要素認証の除外アカウントに大量の不正ログイン - 熊本県立大
教員アカウントに不正アクセス、迷惑メールの踏み台に - 創価大