Contents
2022 年 9 月 22 日 株式会社ニトリホールディング [第 2 報] https://www.nitorihd.co.jp/news/items/72a9f692d27769ef90c0fc86d9c7d6d5.pdf
1. 不正ログイン/ニトリホールディングス
19日に発覚、15日から20日まで。(20日に対策) 約 13万2,000 アカウント 可能性 (多すぎる)
- 攻撃者はなにを目的としたのか。
リスト型攻撃なのか。(ニトリ側はログから分かるだろう。) /偽サイトからの盗難の可能性は。
- 不正ログインの検出から発表までの期間が短いのも異例か。(結論を急ぎすぎ)
- 9月15日以前の攻撃はどうなのか。
件数が多すぎる。どこから集めたものか、気になる。-- ToshinoriMaeno 2022-09-25 00:55:22
13万件も不正ログイン(の可能性)成功とのことだ。(不正でないものも含まれているようだ)
何件の試行が行われたのだろうか。-- ToshinoriMaeno 2022-09-23 01:51:35
- どこからのログインかの情報は記録されていないのか。(そんなはずはない。)
https://www.nitorihd.co.jp/news/items/2cdbc59fa4c3ffe4da790cc1cfe85200.pdf
この度、弊社のスマートフォンアプリ「ニトリアプリ」から、 ニトリネットのニトリアプリ認証プログラムに対し、 第三者が、不正に弊社グループ以外のサービスから入手した大量のユーザーID (メールアドレス)とパスワード情報を用いて、 なりすましログインを行ったと思われる現象が発生していることが確認されました。 ... 今回の不正ログインは、当社以外のサービスから流出したユーザーID・パスワードを利用した「リ スト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測しております
あくまでも、「推測」だ。
不正ログインを受けた可能性のあるユーザーID 数 約 13 万 2,000 アカウント
1.1. history
不正ログインの期間 2022 年 9 月 15 日(木)~9 月 20 日(火) 第三者に閲覧された可能性のある情報 メールアドレス、パスワード、会員番号、ニトリメンバーズの保有ポイント数、氏名、電話番号、住所、 生年月日、性別、建物種別(戸建、集合住宅)、エレベーター有無、一部が目隠しされたクレジット カード番号、有効期
1.2. 対象者の扱い
ログイン試行があり、ログインされた場合、 パスワードをリセット、メールで連絡とのこと。(実施ずみらしい)
https://www.nitori-net.jp/ecstatic/image/pdf/nitori001.pdf
【お詫びとお願い】弊社のスマートフォンアプリ「ニトリアプリ」に、 なりすましログインを行ったと思われる現象が発生していることを確認いたしました。 9 月 20 日(火)午後 8 時、不正ログインされた可能性があるお客様のアカウントに対 するパスワードの無効化を完了し、同日、パスワードを無効にさせていただいたお客 様には、メールで本件に関するお詫びとお知らせのご連絡をさせていただきました 第2報でも言及
1.3. 対象外であることの連絡
ぼちぼち?
https://twitter.com/ritou/status/1572982611236225024?s=20&t=QbEhLYwiaSAh-7kVlnZYyA
> 弊社調査の結果、不正ログインの履歴はございませんでした
なにが根拠なのか。(対象期間内にログインしていなかったらしい。)
ログイン試行はあったけどログインは失敗したものはどう扱われるのか。
1.4. 不正アクセス説
ニトリはリスト攻撃を疑っているが、触れていない報道もある。
ニトリ、不正アクセスで13万2000件の個人情報流出か リスト型攻撃で 2022年09月21日 23時50分 公開 [ITmedia]
https://www.itmedia.co.jp/news/articles/2209/21/news213.html
ニトリホールディングスは9月20日、 同社が提供するスマートフォンアプリ「ニトリアプリ」への不正アクセスによって、 氏名、住所、電話番号などの個人情報が流出した可能性があると発表した。 今回、情報漏洩の可能性があるのは「ニトリネット」「ニトリアプリ」「シマホアプリ」の会員登録者 または「シマホアプリ」でニトリポイント利用手続きを行ったアカウントだ。