「Stylife」で4カ月半にわたり不正ログイン被害、カード情報見られた可能性

　スタイライフ株式会社が運営するファッションECサイト「Stylife」でも、“パスワードリスト攻撃”とみられる不正ログインを受けていたことが分かった。同社が1月22日付で発表した。利用者が登録していたクレジットカード情報を閲覧された可能性があるという。

　不正ログインが確認された期間は、2013年9月1日から2014年1月14日までの4カ月半。Stylife利用者のクレジットカード情報の流出の懸念について、1月10日にクレジットカード会社から連絡があったのを受けて調査を開始し、発覚した。

　不正ログインに成功されてしまったアカウントは、「Stylife ID」の登録者のうち、「マイページ」にクレジットカード情報を登録していた人（クレジットカード払いを利用していた人）の一部で、最大2万4158件。

　これらのアカウントでは、カード番号、カード名義、有効期限を閲覧された可能性がある。マイページに脆弱性があり、通常は閲覧できない情報が攻撃者によって閲覧されてしまった模様だ。一方、セキュリティコードについては同社では保持していないとしている。

　スタイライフによれば、マイページにログインした後の画面に表示されるのは、買い物情報やメールマガジンの管理、ポイントの確認、登録情報の確認・変更、クレジットカード情報の追加・変更といったインデックスのリンクだけであり、住所などの登録情報は直接表示はされないという。今回の不正ログインでは、それらのリンク先へアクセスして個人情報の閲覧・改ざんや、不正な発注などを行った形跡は確認されておらず、クレジットカード情報を閲覧された可能性だけが確認されているとしている。

　なお、スタイライフは2013年9月に楽天株式会社の完全子会社となっており、以前から提供しているStylife IDの新規登録も終了している。Stylifeでは現在、Stylife IDのほか、「楽天会員ID」でも利用できるようになっているが、楽天会員IDでの不正ログインは確認されていないとしてる。

　番号を閲覧された可能性があるクレジットカードについては、クレジットカード各社に不正使用のモニタリングを依頼しているという。また、Stylife IDでクレジットカード情報を登録している人に対しては、1月22日付でメール連絡し、パスワードの変更や、心当たりのないクレジットカード利用履歴がないか確認するよう求めている。

【お詫びと訂正 2014/1/30 12:10】
　記事初出時、「クレジットカード情報を閲覧された可能性がある最大2万4158件のアカウント以外にも、不正ログインに成功されてしまったアカウントもあるようだが、その件数については公表していない」との記述がありましたが、これは誤りでした。

　クレジットカード情報を閲覧された可能性があるアカウントの件数＝不正ログインに成功されてしまったアカウントの件数で、これが最大2万4158件になります。お詫びして訂正いたします。

　該当部分を削除するとともに、本文の一部を修正しました。また、マイページ画面に表示される情報などについての説明を加筆しました。