piyolog

無印良品ネットストアへ行われた不正ログインについてまとめてみた

インシデントまとめ | 08:21 |

8月13日に良品計画が同社の「無印良品ネットストア」において、不正ログインがあったことを発表しました。ここではその関連情報をまとめます。

公式発表

• 「無印良品ネットストア」への不正ログインに関するご報告

(1) 被害状況

不正ログインの被害状況

不正ログイン被害件数	20,957件(ID)
ログイン試行回数	4,220,382回
ログイン試行日数	2014年8月7日16時34分〜12日10時52分(約5日間)
ログイン成功率	約0.5%
会員数	−

流出した可能性のある情報

• 不正ログインを受け、以下の情報が閲覧された可能性がある。
• 登録された情報の改ざんは2014年8月13日時点で確認されていない。
• クレジットカード情報は同社サイト上で保持しておらず、流出の可能性はない。

• マイページトップの情報
  
  • MUJIマイル
  • MUJIショッピングポイント

• MUJI.net メンバー登録・変更画面の情報
  • メールアドレス(PC・携帯 いずれか必須)
  • 氏名
  • 氏名フリガナ
  • 住所
  • 届け先連絡電話番号
  • 届け先連絡電話番号２(任意登録)
  • 性別
  • 生年月日
  • オプション設定情報(メール配信)

金銭的被害

• なりすましによる商品購入やMUJI passportを含むポイントの不正利用は2014年8月13日時点で確認されていない。

(2) 発端

• 不明

(3) 原因

• リスト型攻撃の可能性がある。
  • 良品計画は他社サービスから流出したと思われるID・パスワードを使用していることを発表。

(4) 対応・対策

• 不正ログイン被害について発表
• 不正ログインされたユーザーへ電子メールで連絡。(2014年8月13日)
• 不正ログインされたユーザーのパスワードをリセット。
• 警察へ相談

(5) インシデントタイムライン

日付	出来事
8月7日 16時34分	無印良品ネットストアへ不正ログインを試行するアクセスが開始される
8月12日 10時52分	無印良品ネットストアへ不正ログインを試行するアクセスが終了？
8月13日	良品計画が不正ログイン被害について発表

(6) ログイン仕様

ログインID

• メールアドレスをIDにて使用する
  • PCか携帯電話のメールアドレスを登録する。
  • 「+」記号は使用不可。
• 新規登録したメールアドレスは登録後に変更可能

パスワード

• 8〜20文字
• 半角英数字
  • 文字は2種以上を最低1文字入れる必要がある。

パスワードリセットの流れ

• パスワード再設定画面へアクセス
  
• メールアドレスと生年月日を入力
• リセットURLが記載されたメールが届く
• メールアドレスと再設定するパスワードを入力(有効期限は30分の模様)
  
• パスワード再設定完了

その他

• 良品計画が案内をしているパスワード再設定の画面は一度ログアウトしなければならない。
• MUJI.net メンバー登録・変更画面からはログイン中にパスワードを変更することが可能。

更新履歴

• 2014/08/15 AM 新規作成

ツイートする