ニュース

ユニクロ・GU公式サイトで不正ログイン、身体サイズや氏名・住所など含む46万件の個人情報が閲覧された可能性

 株式会社ユニクロおよび株式会社ジーユーの公式オンラインストアで不正ログインが確認されたことを、運営元の株式会社ファーストリテイリングが明らかにした。5月13日時点で不正ログインされたことが判明しているアカウントは46万1091件に上る。

 不正ログインは、攻撃者が何らかの手段で入手したID・パスワードの組み合わせのリストを使って、ログインを試みる「リスト型アカウントハッキング(リスト型攻撃)」の手法で、4月23日から5月10日にかけて行われたことが分かった。身に覚えのない登録情報変更の通知メールが届いたという顧客からの問い合わせから判明した。

 不正ログインにより、アカウント情報を閲覧される可能性がある。閲覧される可能性のある個人情報として挙げられているのは以下の通り。

・氏名(姓名、フリガナ)
・住所(郵便番号、市区郡町村、番地、部屋番号)
・電話番号、携帯電話番号、メールアドレス、性別、生年月日、購入履歴、衣服を身に付けていない状態の身体サイズを記録する機能「マイサイズ」に登録している氏名およびサイズ
・配送先の氏名(姓名、フリガナ)、住所、電話番号
・クレジットカード情報の一部(カード名義人、有効期限、クレジットカード番号の一部)

 クレジットカード番号については、上4桁と下4桁以外は非表示で、CVV番号(クレジットカードセキュリティコード)は、表示・保存されていないという。

 現在は、不正ログインが試行された通信元を特定してアクセスを遮断し、その他のアクセスについても監視を強化しているという。警視庁に通報を行うとともに、個人情報が閲覧された可能性のある46万1091件のアカウントについては、5月13日にパスワードを無効化し、パスワードの再設定と登録内容確認の依頼メールを個別に送信した。

 ファーストリテイリングは、他社サービスでも同じパスワードを設定している場合は、不正ログインの対象となる可能性があるため、ユーザー情報を見直すよう呼び掛けている。