ヤマト運輸は7月24日、クロネコメンバーズのWebサービスにおいて外部から「パスワードリスト攻撃」(他社サービスから流出した可能性のあるIDとパスワードを利用して、Webサービスにログインを試みる手法)による不正ログインがあったことが判明したと発表した。
同社によると、7月23日に特定のIPアドレスからの不正なログインを確認し、緊急の措置として該当のIPアドレスからのログインを遮断するなどの対策を講じた上で調査した結果、不正なログインに使用されたID・パスワードは同社で使用されていないものが多数含まれており、他社サービスのID・パスワードを使用したパスワードリスト攻撃による不正ログインと判明したという。
不正ログインの状況としては(1)不正ログイン件数は3467件(不正ログイン試行件数は約3万件)、(2)閲覧された可能性のある項目はクロネコID、メールアドレス、利用の端末種別(パソコンまたは携帯・スマートフォン)、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報(カード番号の下4桁・有効期限・氏名)、アドレス帳情報(氏名・住所・電話番号)となり、クロネコメンバーズ会員のうち、メールアドレスを登録していないお客さまは、今回の事象による被害の可能性はないとしている。
対応策として、不正ログインのあったクロネコIDはパスワードを変更しなければ使用できないように対策を講じており、対象者は同社より個別に案内するという。
同社は不正ログイン防止の観点からパスワードを設定する際は定期的なパスワードの変更を促しており、(1)他サービスで利用しているパスワードの使用を控える、(2)極力、過去に使ったことのないパスワードの使用、(3)第三者が容易に推測できるパスワードの使用を控えることを喚起している。
なお、同社では再発防止に向けてさらにセキュリティの高度化を図るという。