2025年6月20日、ファッション 通販サイト「PAL CLOSET(パルクローゼット)」を運営する株式会社パルは、6月15日深夜に発生した不正アクセスの調査の結果194,307件もの不正ログインが成立した可能性があると発表しました。被害会員のマイページ閲覧が行われた恐れがあるものの、クレジットカード情報の流出はなく、二次被害も確認されていないとのことです。
目次
多数の「ログイン通知メール」で発覚
今回の不正アクセスは、6月15日深夜1時頃から発生。複数の利用者に「ログイン通知メール」が一斉に届いたことで、事態が発覚しました。ユーザーからの問い合わせが相次ぎ、同社は対応に乗り出しました。
不正ログインの概要
-
攻撃手法:他サイト流出などで入手したID・パスワードの組み合わせを総当たりで試す「リスト型攻撃」
-
試行回数:1,722,379件
-
成立件数:194,307件
-
影響範囲:不正ログイン成立後、一部会員の「マイページ」情報(氏名、性別、生年月日、住所、電話番号、バーコードNo)が参照された可能性あり
どの顧客の会員情報ページが閲覧されたかについては、システムの仕様上、特定することができておらず、
不正ログインが確認されたお客様には2025年6月20日付けで本文書と同内容のメールを送付しているとのこと
パスワードリスト型攻撃(Credential Stuffing)
この攻撃は「パスワードリスト型攻撃(Credential Stuffing)」と呼ばれ、近年、あらゆる会員制サイトで問題になっています。
攻撃者は自動化されたスクリプトを使って、数百〜数千件のアカウントに対して一斉にログインを試みます。
その結果、一部の使い回されていたパスワードが“偶然”正解だった場合、不正ログインが成立してしまいます。
攻撃者は利用できるID/パスワードをリスト化し
・別のサービスへの不正アクセスに利用
・リスト自体をダークウェブで販売
などが可能になります。
上記から、不正アクセスの対象になった方は、パスワードを変更しパスワードの使いまわしを辞める。通販サイト運営者は多要素認証を提供するなどが必要になります。
一部参照
https://www.palcloset.jp/display/article/detail/?acd=250616all_001
関連記事
ファッション 通販サイトのパルクローゼット、深夜の不正アクセスでユーザーへパスワード再設定を呼びかけ
Booking.comを装ったフィッシング攻撃とソーシャルエンジニアリングで認証情報窃取マルウェアを配布
SonicWall SMAシリーズを狙うVPN認証情報窃取キャンペーンが進行中 CVE-2021-20035の悪用か
The North Face(ザ・ノース・フェイス)、4月のECサイトへのサイバー攻撃で個人情報閲覧の可能性
Windows Update の欠陥で「パッチ解除」が行われるダウングレード攻撃が可能に
SonicWallの重大な脆弱性(CVE-2024-40766)を ランサムウェア 攻撃グループAkiraが悪用
Gitと関連サービスの脆弱性により認証情報が漏洩
中国や北朝鮮が生成AIをサイバー攻撃やソーシャルエンジニアリング、プロパガンダ拡散に悪用
バイトルを利用していたアローズコーポレーションの管理アカウントへ不正ログインが発生し個人情報漏洩
