ファーストリテイリングは5月13日、ユニクロ公式オンラインストア、ジーユー公式オンラインストアにおいて、第三者による不正なログインが発生したことを5月10日に確認したと発表した。
同社の発表によると、4月23日から5月10日にかけて、リスト型アカウントハッキング(リスト型攻撃)の手法によって、46万1091件のアカウント数が不正なログインが行われたという。
不正に閲覧された可能性がある個人情報は以下の通り。
- 氏名(姓名、フリガナ)
- 住所(郵便番号、市区郡町村、番地、部屋番号)
- 電話番号、携帯電話番号、メールアドレス、性別、生年月日、購入履歴、マイサイズに登録している氏名およびサイズ
- 配送先の氏名(姓名、フリガナ)、住所、電話番号
- クレジットカード情報の一部 (カード名義人、有効期限、クレジットカード番号の一部)
クレジットカード番号は、上4桁と下4桁以外は非表示としており、CVV番号(クレジットカードセキュリティコード)は表示・保存されていないので、漏洩の可能性はないとしている。
個人情報が閲覧された可能性がある46万1091件のユーザーIDについては、5月13日にパスワードを無効化し、パスワードを再設定するようメールで個別に連絡している。
同社は、オンラインストアサイトの利用者に対し、不正ログインを防止するため、「他社サービスとは異なるパスワードを設定する」「第三者が容易に推測できるパスワードを使用しない」ことを推奨している。
リスト型アカウントハッキングは、他社サービスから流出した可能性があるユーザーID/パスワードを利用するため、他社サービスと同じパスワードを設定している場合は、不正ログインの対象となるおそれがある。