2025年8月1日、佐川急便株式会社は、同社が運営する会員サービス「スマートクラブ」に対して、第三者による不正ログインの可能性があるアクセスを検知したと発表しました。
被害は限定的であり、同社システムや決済情報への影響はないとしつつも、アカウントの安全を守るためパスワード変更などの対応を呼びかけています。
何が起きたのか?
佐川急便によると、今回の不正アクセスは、外部から流出した可能性のあるIDとパスワードを使ってスマートクラブにログインしようとする試みが確認されたもので、いわゆる「リスト型攻撃」の可能性が指摘されています。
検知された状況(2025年8月1日15時時点):
-
不正アクセス元のIPアドレスを特定・ブロック済み
-
サーバーおよび業務システムへの侵害なし
-
クレジットカード番号や銀行口座情報の漏洩なし
-
不正ログインの可能性があるユーザーには個別連絡を実施中
利用者への注意喚起
佐川急便は以下のような対応を呼びかけています:
-
他のサイトと同じID・パスワードを使用している場合は、至急パスワードを変更
-
不審なログイン履歴やメールを確認した場合は、速やかに佐川急便へ連絡
-
パスワードは8文字以上・英数字・記号を組み合わせて再設定推奨
今回のポイントと背景
「スマートクラブ」は、再配達依頼や配達状況の確認などが行える佐川急便の公式オンラインサービスです。EC利用の拡大に伴い、宅配各社のアカウントには日常的に多くのアクセスが集まっており、ログイン認証の堅牢性が重要なセキュリティ項目となっています。
今回のように、他サービスで流出したID・パスワードを使って攻撃する手口(リスト型攻撃)は近年非常に多く、対策が難しいのが実情です。企業側の防御強化だけでなく、ユーザー側のパスワード管理意識も鍵を握ります。
情報システム部門への教訓
本事案は、リスト型攻撃を受けた典型的なケースであり、以下の観点からの対策が企業側にも求められます:
-
不正ログイン試行のリアルタイム検知とIPブロック
-
ログイン失敗回数や地域別アクセスの異常検知
-
2要素認証の導入(配送系サービスでは今後必須に)
-
顧客への迅速な注意喚起と影響範囲の可視化
関連記事
佐川急便「スマートクラブ」で不正ログインを検知 マイページを一時制限、該当ユーザーに個別連絡へ
佐川急便「スマートクラブ」で不正ログインを検知 対象IPを遮断、2段階認証を必須化
メルセデス・ベンツ日本、システムの設定不備で約1.5万名分の個人情報が一時外部から閲覧になるインシデント
2024年 米国のサイバー犯罪の被害額は過去最高の約2.5兆円(166億ドル)
FBI、銀行サポートを装うアカウント乗っ取り詐欺に警鐘 -2025年だけで2億6,200万ドル(約409億円)超の被害
リクルート、元従業員による顧客・従業員情報の不正持ち出し-顧客の情報が漏洩
TBMの元幹部ら2人、機密情報を不正に持ち出し書類送検
シスコ、ビッシング(ボイスフィッシング)による情報漏洩を公表
長野県立こども病院、看護師が電子カルテの画像を無許可で共有-停職1か月の処分
