画像:株式会社ニトリホールディングスより引用
株式会社ニトリホールディングスは2022年9月20日、同社が顧客向けに展開しているスマートフォンアプリ「ニトリアプリ」の認証プログラムに対する不正アクセスが発生したと明らかにしました。
説明によると、攻撃は2022年9月15日より発生したもので、何者かが同社アプリの認証プログラムに対して大量のユーザーIDおよびパスワードを入力し、不正ログインを試みたとのこと。同社はこれを2022年9月19日に確認し調査したところ、ニトリおよびシマホユーザー約13万2,000 アカウントについて不正ログインの懸念が明らかになりました。
アカウントには氏名や住所、連絡先のほか、保有ポイント情報や一部クレジットカード番号が記録されていました。同社はこれが外部流出した可能性があるとして、注意喚起しています。
リスト型ハッキングとは
ニトリホールディングスは不正アクセスの手口について「リスト型ハッキング」によるものと推定しています。
リスト型ハッキングとは、攻撃対象以外の外部サービスから流出した認証情報を利用して、ユーザーのアカウントに不正ログインを試みるというもの。多くのユーザーは複数のサービスにまたがり共通した認証情報を使用する傾向にあることを利用した攻撃です。
同社は今後、セキュリティ強化を実施し再発防止に努めると発表しています。合わせて、ユーザーに認証情報の使いまわしを避けるよう呼び掛けています。
参照「ニトリアプリ」への不正アクセスによる個人情報流出の可能性に関するお詫びとお知らせ/株式会社ニトリホールディングス