セキュリティ

SECURITY

公開：2024-11-29

オイシックス・ラ・大地のECサイトでパスワードリスト型攻撃による大規模な個人情報流出の可能性が発覚、WAF導入済みも防げず

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Oisix.comでパスワードリスト型攻撃による不正ログインが発生
• 9万7533件の個人情報が閲覧された可能性を発表
• WAF導入済みだが攻撃を防げず対策強化へ

Oisix.comへのパスワードリスト型攻撃による個人情報流出の可能性

オイシックス・ラ・大地は2024年11月26日、食品宅配ECサービス「Oisix.com」において第三者による不正ログインが発生し、9万7533件の個人情報が閲覧された可能性があることを発表した。同社はウェブアプリケーションファイアウォール（WAF）を導入していたものの攻撃を防ぐことができず、セキュリティ対策の見直しが必要となっている。^[1]

今回の不正ログインでは、第三者が外部から不正に取得したIDとパスワードを使用してユーザーになりすましてログインする手法が用いられ、ユーザーの氏名や住所、電話番号、メールアドレス、配送先情報などの個人情報が閲覧された可能性があることが判明した。なお、クレジットカード情報は決済代行会社が保持しているため、流出の可能性はないとしている。

オイシックス・ラ・大地は11月24日にシステムによる検知で不正ログインを確認し、直ちに対象となる顧客のパスワードリセットを実施するとともに、サーバー側での対策を講じた。今後も継続的に監視体制を強化し、セキュリティ対策の徹底を図っていくとしている。

不正ログイン被害の詳細

パスワードリスト型攻撃について

パスワードリスト型攻撃とは、他のサービスから流出した認証情報を使用して、標的となるサービスへの不正アクセスを試みる攻撃手法のことを指す。主な特徴として以下のような点が挙げられる。

• 複数のサービスで同じパスワードを使い回すユーザーを狙う攻撃手法
• 正規の認証情報を使用するため検知が困難
• WAFなどの一般的なセキュリティ対策では防ぎきれない

パスワードリスト型攻撃は、Oisix.comのようなECサイトにとって深刻な脅威となっている。特に個人情報や決済情報を扱うECサイトでは、二要素認証の導入やパスワードの定期的な変更推奨など、複数の対策を組み合わせた多層的な防御が求められる。

Oisix.comへの不正ログイン被害に関する考察

Oisix.comの不正ログイン事案では、WAFを導入していたにもかかわらず攻撃を防げなかった点が重要な教訓となっている。ECサイトのセキュリティ対策では、WAFだけでなく多要素認証や不正アクセス検知システムなど、複数の防御層を組み合わせた包括的なアプローチが不可欠だろう。

今後は同様の攻撃に対する防御強化として、ログイン試行回数の制限やリスクベース認証の導入、異常なログインパターンの検知機能の強化が求められる。特にECサイトでは顧客の個人情報や購買履歴など機微な情報を扱うため、より高度なセキュリティ体制の構築が急務となっているだろう。

また、ユーザー側の意識向上も重要な課題となっている。パスワードの使い回しを防ぐためのパスワードマネージャーの利用推進や定期的なパスワード変更の徹底など、利用者向けのセキュリティ教育にも力を入れていく必要がある。

参考サイト

1. ^ オイシックス・ラ・大地株式会社. 「【重要】当社WEBサイトへの「なりすましログイン」への対応に関して」. https://www.oisixradaichi.co.jp/news/posts/20241126/, (参照 24-11-29).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧