「ディノスオンラインショップ」に不正ログイン - 情報改ざんや不正注文が発生

通信販売サイト「ディノスオンラインショップ」に対してなりすましによる不正アクセスがあり、顧客情報の改ざんや不正な注文が行われていたことがわかった。

同サイトを運営するディノス・セシールによれば、11月4日と同月5日に、利用者以外の第三者によって不正にログインされる被害が発生したもの。不正ログインされた顧客の1人が登録情報の変更に気付き、12月3日に同社へ連絡したことで問題が発覚した。

11月4日に発生した不正ログインでは、顧客1人の住所や電話番号、携帯電話番号が改ざんされ、勤務先情報を閲覧された可能性がある。

また翌5日には、前日と同一のセッションで別の顧客1人に関する住所や、電話番号、ファックス番号が改ざんされ、顧客とは関係ないクレジットカードによる注文が行われていた。注文は、不正なクレジットカードの利用だったとしてキャンセル処理が行われていたという。このほか、失敗したものの、別に1件不正ログインが試みられた形跡が確認されている。

同社では、7月から9月にかけて断続的に不正ログインによる不正アクセスを受けているが、今回の不正ログインについても前回までと同様に、他サービスで取得されたアカウント情報を使用した「パスワードリスト攻撃」であるとの見解を示している。

同社では、対象となる顧客の会員登録を抹消。不正アクセス元の特定IPアドレスからのアクセスをブロックした。また利用者に対し、パスワードの使い回しをしないなど、パスワード管理の徹底を呼びかけている。

（Security NEXT - 2017/12/14 ） ツイート

PR

関連記事

三越伊勢丹の宅配サービスにPWリスト攻撃 - 不正注文などに注意喚起
食品宅配「Oisix」にPWリスト攻撃 - 約9.7万件で不正ログイン
通販サイトにPWリスト攻撃、個人情報閲覧の可能性 - ヨネックス
約1.5万件の不正ログインを確認 - ジュピターショップチャンネル
NASにランサム感染想定した機能などを追加 - バッファロー
動画配信サービス「Hulu」にPWリスト攻撃 - 強制リセット実施
日産のカーシェアで不正ログイン - 車両の不正利用が発生
ゴルフダイジェストにPWリスト攻撃 - 閲覧や改ざんの痕跡なし
PWリスト攻撃で一部「LINE公式アカウント」が乗っ取り被害
「mixi」にPWリスト攻撃 - 2月から3月にかけて発生