piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

2014年9月に無印良品ネットストアへ行われた不正ログインについてまとめてみた

9月23日に良品計画が同社の「無印良品ネットストア」において、不正ログインがあったことを発表しました。ここではその関連情報をまとめます。

(1) インシデントタイムライン

日付 出来事
9月22日〜23日0時34分 無印良品ネットストアへ不正ログインが行われる
9月23日 良品計画が不正ログイン被害について発表

(2) 被害状況

不正ログインの被害状況
不正ログイン被害件数 19件(ID)
ログイン試行回数 18,663回
ログイン試行日数 2014年9月22日21時29分〜9月23日0時4分(約2時間半)
ログイン成功率 約0.1%
会員数
流出した可能性のある情報
  • 不正ログインを受け、以下の情報が閲覧された可能性がある。
  • 登録された情報の改ざんは2014年9月23日時点で確認されていない。
  • クレジットカード情報は同社サイト上で保持しておらず、流出の可能性はない。
  • マイページトップの情報
    • MUJIマイル
    • MUJIショッピングポイント
金銭的被害
  • なりすましによる商品購入やMUJI passportを含むポイントの不正利用は2014年9月23日時点で確認されていない。

(3) 発端

  • 不明

(4) 原因

  • リスト型攻撃の可能性がある。
    • 良品計画は8月の不正ログイン同様に他社サービスから流出した可能性のあるID(メールアドレス)、パスワードが利用されていると発表。

(5) 対応・対策

  • 不正ログイン被害について発表
  • 不正ログインされたユーザーへ電子メールで連絡。
  • 不正ログインされたユーザーのパスワードをリセット。

(6) ログイン仕様 (2014年10月13日調査)


ログインID
  • メールアドレスをIDにて使用する
    • PCか携帯電話のメールアドレスを登録する。
    • 「+」記号は使用不可。
  • 新規登録したメールアドレスは登録後に変更可能
パスワード
  • 8〜20文字
  • 半角英数字
    • 文字は2種以上を最低1文字入れる必要がある。
その他
  • ID、パスワードの入力の他、CAPTCHAが行われる。
  • 9月23日時点でCAPTCHAが行われていたかは不明。

参考

2014年8月13日「無印良品ネットストア」への不正ログイン
不正ログイン被害件数 20,957件(ID)
ログイン試行回数 4,220,382回
ログイン試行日数 2014年8月7日16時34分〜12日10時52分(約5日間)
ログイン成功率 約0.5%
会員数

更新履歴

  • 2014/10/13 AM 新規作成