piyolog

2018年のリスト型攻撃の被害事例をまとめてみた

インシデントまとめ | 06:09 |

2018年に発表されたリスト型攻撃、またはそのような攻撃の被害を受けたとみられる事例をまとめます。

2018年に発表されたリスト型攻撃事例一覧

No	被害発表日	被害組織	不正アクセス発生時期	被害件数	情報漏えい被害(可能性含む)	金銭的被害(可能性含む)
1	2018年1月24日	株式会社 キタムラ	2017年11月115日～2018年16日	非公表	有り	無し
2	2018年2月26日	株式会社 ディノス・セシール	非公表	非公表	非公表	非公表
3	2018年3月7日	株式会社 ノジマ	2018年1月15日～1月18日 2018年2月6日～2月10日 2018年2月23日～25日	7アカウント、20件	有り	無し(注文全て取消)
4	2018年3月14日	株式会社 カヤック	非公表	非公表	非公表	非公表
5	2018年4月16日	エーアンドエー株式会社	2018年4月5日～4月6日	5アカウント	有り	無し
6	2018年5月10日	株式会社ドワンゴ	2018年5月上旬	非公表	非公表	非公表
7	2018年5月22日	株式会社VOYAGE MARKETING	非公表	非公表	非公表	非公表
8	2018年6月6日	株式会社 ディノス・セシール	2018年6月2日	490アカウント	有り	無し
9	2018年6月9日	KLab株式会社	2018年6月8日 2018年6月9日	366件	有り	無し
10	2018年7月6日	株式会社ドワンゴ	非公表	非公表	非公表	非公表
11	2018年8月6日	株式会社マーケティングアプリケーションズ	非公表	非公表	無し	非公表
12	2018年8月14日	株式会社NTTドコモ	2018年7月下旬以降	約1,800件	有り	有り 端末の不正購入約1,000件
13	2018年8月15日	株式会社ケイ・オプティコム	2018年8月13日～8月20日	7,131件	有り	無し
14	2018年8月24日	四国電力株式会社	2018年8月22日～8月23日	149人?	有り	有り(約12万7千円相当ポイント)

株式会社 キタムラ

• [PDF] 弊社「カメラのキタムラネットショップ」への“なりすまし”による不正アクセスについて

被害を受けたサービス

• カメラのキタムラ

攻撃の詳細

• 複数のIPアドレス(国外)より行われたもの。
• メールアドレス、パスワードが用いられた。
• キタムラの把握した時期は2017年12月6日11時頃。

個人情報の漏えい被害の有無

以下のカメラのキタムラの個人情報が第三者に閲覧された恐れがある。

• 氏名
• フリガナ
• 郵便番号
• 住所
• 電話番号
• 性別
• メールアドレス
• ニックネーム
• 利用店舗最大4店
• 注文履歴
• 保有Tポイント残高

金銭的な被害の有無

• クレジットカード情報は保持していない。

株式会社 ノジマ

• 弊社「ノジマオンライン」へのなりすましによるログインと対応完了報告について

被害を受けたサービス

• ノジマオンライン

攻撃の詳細

• 2018年2月10日にユーザーから連絡を受けて判明。
• 登録情報の変更にユーザーが気づいた。
• 国外のIPアドレスより行われたもの。
• メールアドレス、パスワードが用いられた。
• 3回にわたりリスト型攻撃の被害を受けていた。

個人情報の漏えい被害の有無

• 氏名
• 住所
• 電話番号
• 生年月日
• 性別

金銭的な被害の有無

• クレジットカード情報を利用した注文が発生した。
• カード番号は登録ができるがカード番号などの表示は行われない仕様となっている。
• なりすましにより発生した注文は注文時、出荷時にノジマが取り消しを行っている。

株式会社 ディノス・セシール

• [PDF] 【重要】 お客様情報＜パスワード＞の管理には十分ご注意ください。
• [PDF] 弊社「セシールオンラインショップ」への不正アクセスとお客様情報流出の可能性に関するお詫びとお知らせ
• [PDF] 弊社「セシールオンラインショップ」への不正アクセスとお客様情報流出の可能性に関するお詫びとお知らせ ［第 2 報］

攻撃の詳細

• 攻撃に使われたメールアドレス1938件すべてがセシールに登録されたユーザーであった。
• セシールのサービスを使ってリストのスクリーニング行為が行われていた。
  • 攻撃の手前で165,038件の新規登録が行われていた。
  • 3,533件が登録済みとして新規に登録が出来なかった。
  • 攻撃に利用された1938件、すべてがこの重複登録ではじかれたものであった。
• 攻撃は中国国内からのIPアドレス201件であった。

個人情報漏えい被害の有無

• 以下の情報が閲覧された可能性がある。
  • 氏名
  • 所有ポイント数
• ファイルへの出力、転送、及びダウンロードは行われていない。

金銭的な被害の有無

• 登録されたクレジットカード情報などが閲覧された可能性はない。

株式会社 カヤック

• 【運営からのお知らせ】グループへの不正アクセスのご報告と再発防止策について

被害- を受けたサービス

• Lobi

個人情報の漏えい被害の有無

• 不正アクセスを試みた人物によるプライベートグループへの参加、チャットの閲覧は行われていない。

金銭的な被害の有無

• 公開情報では言及されていない。

エーアンドエー株式会社

• 弊社ユーザ登録サイトへの不正アクセスについて

被害を受けたサービス

• ユーザ登録サイト（A&A ユーザ登録 & Information ポータルサイト）

攻撃の詳細

• エーアンドエーは2018年4月9日午前中に把握。
• ユーザーID、パスワードを忘れた場合の通知をする機能が悪用されていた。

個人情報漏えい被害の有無

以下の情報を含む登録時に入力された情報

• 名義（氏名）
• 住所
• 電話番号
• 製品登録履歴

金銭的な被害の有無

• 被害を受けたサービスではクレジットカード情報は保持していない。

株式会社ドワンゴ

• 他社流出パスワードを用いた不正ログインについて(2018/05)
• 他社流出パスワードを用いた不正ログインについて(2018/07)

被害を受けたサービス

• niconicoサービス

攻撃の詳細

• メールアドレス、パスワードを利用しているもの。

株式会社VOYAGE MARKETING

• 【重要】不正アクセス防止対策のお願い

KLab株式会社

• KLab ID への不正ログインに関するお知らせ

被害を受けたサービス

• KLab ID

個人情報漏えい被害の有無

• KLab IDに登録されているお客様情報（メールアドレス、ひみつの質問と回答、生年月日、性別、言語）
• KLab IDと連携中のアプリ名
• KLab IDと連携したアプリ内で閲覧できる全ての情報

株式会社マーケティングアプリケーションズ

• 重要！　不正ログイン防止のためのIDとパスワード定期更新のお願い

被害を受けたサービス

• アンとケイト

株式会社ケイ・オプティコム

• eoIDに対する不正なログインについてのお知らせ（2018年8月21日更新）

被害を受けたサービス

－ eoID

個人情報漏えい被害の有無

• 以下の情報等が閲覧された可能性がある。
  • 氏名
  • 住所
  • 電話番号
  • 性別
  • 生年月日
  • メールアドレス

金銭的な被害の有無

• 口座情報、クレジットカード情報はマスキングをしている。

株式会社NTTドコモ

• docomo Online Shopへの不正ログインとiPhoneの不正購入についてまとめてみた

四国電力

• [PDF] よんでんコンシェルジュへの不正アクセスによるポイント交換について

被害を受けたサービス

• よんでんコンシェルジュ

攻撃の詳細

• 8月23日午前中に身に覚えのないポイント交換が行われたとの連絡を受け把握。
• 約22万7千人が登録しているが、登録者数を上回るアクセスが行われた。

個人情報漏えい被害の有無

• 非公表。

金銭的な被害の有無

• 149名のポイント、合計127,390ポイントが不正に利用されたと推定。
• WAONやANAのマイルなど計13社のポイントに交換ができるもの。
• リスト型攻撃によるものであることからユーザーへの被害補償は行わない方針。

更新履歴

• 2018年8月25日 AM 新規作成