新着Pick
283Picks
Pick に失敗しました

人気 Picker
※追記
踏み台かまされたら検知できないだろうという意見が出てますが仮に1000台踏み台を用意したとしても46万回の試行だと、一台当たり4600回のアクセス試行があるわけです。
検知できてしかるべきでは?
その考え方だと「仕方ない」レベルにしようと思うと10万台ぐらい踏み台がいりますね

この対応は完全に言い逃れのできない”アウト”ですね
まず不正アクセスを検知できていない。
後に攻撃元IPを遮断していることから、複数もしくは単一の攻撃元から大量のアクセス試行があったことでしょう。
それを日頃は監視せず顧客からの問い合わせで発覚するなど言語道断です。
同社は早急な体制強化が喫緊の課題でしょう。

「顧客から「身に覚えのない登録情報変更の通知メールが届いた」という申し出を受けて調査を進めたところ、4月23日から5月10日にかけ、不正ログインが試行されたことを確認した。現在は、不正ログインが試行された通信元を特定してアクセスを遮断し、その他のアクセスの監視も強化したという。不正ログインされたIDは、13日にパスワードを無効化し、パスワードの再設定と登録内容確認を依頼するメールを個別に送信した。また、警視庁に通報したという。」
本件でユニクロはほぼ悪くないと思います。あるとすれば二段階認証を推奨していなかったこと、たくさんの情報を持っていたことでしょうか。(※追記 二段階認証がそもそも設定できなそう。少なくともアプリからは。うーむ。)

リスト型攻撃ということは「他のサービスで漏洩したメアドとパスワードの組み合わせ」が攻撃に使われたということ。その攻撃先がたまたまユニクロだったわけで、他で漏洩している時点でユニクロは二段階認証をしないと防ぎようがありません。(または攻撃の兆候を察して、Googleみたいに「○○県からアクセスしましたか?」という確認などをいれることで被害をおさえられたかもしれませんが、事前にそこまでセキュリティに金をかけられるかというとすごく難しいと思う)

いつまでID/パスワード認証がメジャーなんですかね。10年後には違う認証が一般的になっているでしょうか。(ってか二段階認証、全然手間じゃないのに流行らないですね)
ECサービスを提供している側なので、記事タイトルを読んだだけで身震いがします。。。

こういったリスクもあることを踏まえて、日々ユーザーが安心して楽しめるサイトづくりやサービス設計をしていかねば。
「弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて」という件名のメールが来ました。

ま、身体のサイズなんて漏れたって支障ないんですけどね。PWを変更したものの、もはやPWの数が多すぎて、自分でも覚えていられず、毎回ログインするだけで一苦労です。。。
ユーザーにパスワード変更を依頼しているって部分。何経由で依頼してるんでしょうね。ボクには来てない気が。対象アカウントじゃなかったのかな。
リスト型攻撃も大量の踏み台PCからアクセスを分散して来たりもする訳でありきたりなパスワードや使い回しをするユーザ側にも3割くらい責任あると思います。たかが通販サイトで3ストライクアウトで翌日までアカウントロックとかされたらどんどんお客さんいなくなるでしょうし。わたしはこの手の攻撃への最適解はヤマトとか配送業社に氏名や住所を管理してもらってニックネームしか預からないことだと思います。メルカリのエスクローを普通のECでもやってもらうと。ましてやマーケティング上の都合を除けば性別と年齢なんてECの本質部分には不必要ですよね。
セキュリティもまた色々と進化を求められますね...
不正ログインを受けたことを確認したアカウントは46万1091件とのこと