2019年05月14日
「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて
株式会社ユニクロ
株式会社ジーユー
弊社が運営するオンラインストアサイト(ユニクロ公式オンラインストア、ジーユー公式オンラインストア)において、お客様ご本人以外の第三者による不正なログインが発生したことを、2019年5月10日に確認しました。今後の調査の進捗に応じて対象件数や状況が変動する可能性がございますが、現時点で確認している事実と弊社の対応状況をご報告いたします。
今回の不正ログインは、2019年4月23日から5月10日にかけて、「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われ、現時点判明分で不正ログインされたアカウント数は、461,091件となります。お客様や関係者の皆様には、ご迷惑とご心配をおかけすることを、深くお詫び申し上げます。今後、同様の事象が発生しないよう、より一層のセキュリティ強化と安全性の確保に努めてまいります。
(1)不正ログインが確認されたお客様のアカウント数
ユニクロ公式オンラインストア・ジーユー公式オンラインストアにご登録いただいている461,091件
(2)閲覧された可能性のあるお客様の個人情報
○ お客様の氏名(姓名、フリガナ)
○ お客様の住所(郵便番号、市区郡町村、番地、部屋番号)
○ 電話番号、携帯電話番号、メールアドレス、性別、生年月日、購入履歴、
マイサイズに登録している氏名およびサイズ
○ 配送先の氏名(姓名、フリガナ)、住所、電話番号
○ クレジットカード情報の一部 (カード名義人、有効期限、クレジットカード番号の一部)
クレジットカード番号は、上4桁と下4桁以外は非表示としております。
CVV番号(クレジットカードセキュリティコード)は、表示・保存されていないので、
漏えいの可能性はありません。
(3)対応
お客様から「身に覚えのない登録情報変更の通知メールが届いた」というお申し出があり、調査を進めたところ、2019年4月23日から5月10日にかけて、不正ログインが試行されたことを確認しました。現在は、不正ログインが試行された通信元を特定してアクセスを遮断し、その他のアクセスについても監視を強化しております。個人情報が閲覧された可能性のある461,091件のユーザIDについては、同年5月13日にパスワードを無効化し、パスワードの再設定のお願いをメールで個別にご連絡しております。また、本事案については、警視庁に通報しています。
(4) お客様へのお願い
弊社オンラインストアサイトをご利用のお客様は、不正ログインを防止するため、以下の点にご協力をお願いいたします。
1.他社サービスとは異なるパスワードを設定する。
2.第三者が容易に推測できるパスワードを使用しない。
今回の不正ログインの手法は、他社サービスから流出した可能性のあるユーザID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測されます。そのため、他社サービスと同じパスワードを設定している場合は、不正ログインの対象となる可能性があります。他社サービスと同じパスワードを設定しないことが、リスト型攻撃を防ぐ方法の1つです。本件に関して個別にご連絡を差し上げているお客様に限らず、他社サービスと同一のユーザID・パスワードをご利用の方は、速やかにパスワードをご変更くださいますようお願いいたします。弊社は、お客様情報の保護を最優先事項と認識しており、この度の事態の発生を真摯に受け止め、不正ログインの監視強化など、より一層お客様が安全・安心にお買い物できる環境を整備してまいります。
(ご参考)「リスト型アカウントハッキング(リスト型攻撃)」に関する総務省報道資料
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html
本件に関するお問い合わせは、下記窓口までお寄せくださいますよう、お願いいたします。なお、本件に限らず、弊社がお客様にメールや電話、SNSなどでパスワードやクレジットカード番号をお伺いすることはございませんので、ご留意くださいますようお願い申し上げます。
【本件に関するお客様専用お問い合わせ窓口】
電話番号:0800-000-1022(フリーコール、受付時間:14日は8時~17時、それ以降は9時~17時 土日祝日含む)
メールアドレス:customer.hotline@fastretailing.com