ユニクロ個人情報流出 企業側の対策だけでは対応できない「リスト型攻撃」が手口

ユニクロの個人情報流出

5月14日、ユニクロとジーユーを運営するファーストリテイリングは、両ブランドのオンラインストアに不正ログインがあったと発表した。4月23日から5月10日までの18日間の間、46万1091件のアカウントが不正ログインの被害にあった可能性があると発表されている。

攻撃手法はリスト型攻撃

今回の不正ログインは、ハッキングによるもので、「リスト型攻撃(リスト型はアカウントハッキング)」という手口のもの。

リスト型攻撃とは、別のルートでログインID(主にメールアドレス)とパスワードのリストを確保したハッカーが、その情報を利用して様々なサービスに攻撃を仕掛けるという手法だ。様々なウェブサービスにおいて、パスワードを使いまわしている消費者がターゲットになっている。

原因は消費者のセキュリティ意識の低さ

今回の事件、もちろん企業側にも対策の改善の余地がなかったわけではないが、基本的には消費者のセキュリティ意識の低さが原因だと言える。

企業側がどんなにセキュリティ対策を行っていたとしても、そもそもハッカーがサービスのログイン情報を持っていては止めようがない。どんなに巧妙な鍵がついた金庫でも、泥棒が本物の鍵を持っていれば、容易く開けられてしまうのと同じだ。

むしろ、クレジットカード情報とセキュリティコードという、クリティカルな情報を保存しない形式をとっていたファーストリテイリングに、消費者は助けられたとも言える。

パスワードを使いまわしていると、このような被害が起きるという良い事例になったではないだろうか。

リスト型攻撃の対策はパスワードを使いまわさないこと

ファーストリテイリングは、今回のことを受け、他社サービスでも利用しているパスワードを使いまわさないことを呼び掛けているが、まさに消費者が絶対に考えておくべきセキュリティ対策だ。

サイバー攻撃の技術が急激に高まっている中で、世の中のウェブサービスの中で、セキュリティ対策が十分に取られているサービスの方が少ないと言っても過言ではないと予想できる。そんな中、パスワードを使いまわしてしまっていれば、重要なアカウントにも容易に不正アクセスされてしまうリスクがあり、企業側の対策で止めることは難しい。

IT化が進み続ける中、これから、このような事件はさらに増えていくだろう。これからは企業だけではなく、消費者一人一人もセキュリティの意識をしっかり持つ必要がある。

【参考URL】
ユニクロ、約46万件の個人情報に不正アクセス–通販サイトで「リスト型攻撃」被害