先週のサイバー事件簿 - ニトリアプリが攻撃を受け13万件の情報流出

9月19日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

「ニトリアプリ」が不正アクセスで個人情報流出

ニトリホールディングスのスマートフォンアプリ「ニトリアプリ」が第三者による不正アクセスを受けた。ニトリネットのニトリアプリ認証プログラムに対して行われ、攻撃はパスワードリスト攻撃によるもの。別のサービスから不正入手したユーザーID（メールアドレス）とパスワードを使って、なりすましログインを行ったと見られている。

不正アクセスが発生したのは9月15日。ニトリネットおよびニトリアプリで会員登録した人、シマホネットでニトリポイント利用手続きをした人、シマホアプリで会員登録した人の情報が漏洩した可能性がある。

不正ログインがあった期間は、2022年9月15日～9月20日。現時点で判明している不正ログインを受けた可能性のあるユーザーID数は約132,000件。閲覧された可能性のある情報は、メールアドレス、パスワード、会員番号、ニトリメンバーズの保有ポイント数、氏名、電話番号、住所、生年月日、性別、建物種別（戸建、集合住宅）、エレベーター有無、一部が目隠し済みのクレジットカード番号、有効期限。

同社は、不正ログインの可能性がある顧客のアカウントに対してパスワードのリセットを実施。新たな不正ログイン防止のため、セキュリティ機器も強化した。なお、同社グループではクレジットカード決済に必要な情報を保持していないため、クレジットカード情報の流出はない。

日本盛、管理運用するサーバーが不正アクセス被害

酒造メーカー大手、日本盛が管理運用するサーバーが第三者による不正アクセスを受けた。これにより、社内システムで障害が発生している。

不正アクセスは9月18日に発生し、当日中にサーバーをネットワークから遮断。9月19日に関係機関へと届け出た。不正アクセスを受けた情報の内容、原因、経路、情報漏洩の可能性など、詳細は現在も調査中。公表すべき重要な問題が判明した場合は、同社ホームページなどで情報を公開するとのこと。

武州製薬、不正アクセスを受け個人情報流出の可能性 - 脅迫メールも届く

武州製薬は、第三者からの不正アクセスによって保有する個人情報が流出した可能性があることを公表した。

不正アクセスは6月25日に発生。同社の従業員が犯行グループから脅迫メールを受信したことで発覚。調査会社を含めた対応チームが調査したところ、不正アクセスの起点となった可能性が高いのはVPN装置の脆弱性。ただちにこれを修正し、全社員のパスワード変更を実施した。

流出した可能性が高い個人情報は、従業員情報（退職者含む）が3,000件、採用選考候補者情報が3,100件、派遣社員情報（退職者・候補者含む）が2,900件、取引先会社関係が4,000件。情報流出の可能性を受け、武州製薬は照会専用窓口を設置している。

さらなる対策として、社内の全サーバーおよびPCに外部セキュリティ専門家が提供するエンドポイントエージェントを導入。セキュリティスキャンを実施し、監視体制を強化した。現在は不正アクセスを受けた社内サーバーは復旧している。

中村食肉ショッピングサイト、不正アクセスによりクレジットカード情報が流出

中村食肉が運営する「中村食肉ショッピングサイト」が不正アクセスを受けた。これにより、クレジットカード情報が流出している。

不正アクセスは、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。2021年7月29日にクレジットカード会社からの連絡で発覚した。2021年7月30日にはカード決済を停止し、サイトを閉鎖している。

第三者機関による調査によると、2021年5月10日11時7分～2021年6月6日16時17分の期間に商品を購入した人のクレジットカード情報（94件）が流出。一部顧客のクレジットカードには不正利用の可能性があるという。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード、ログインID（メールアドレス）、電話番号。

同社はクレジットカード会社と連携し、クレジットカード取引のモニタリングを実施。顧客に対しては、クレジットカードの利用明細書に不審な請求項目がないかを確認するよう呼びかけている。再発防止策として、システムのセキュリティ対策と監視体制の強化を実施するとのこと。