ファッション 通販サイト「PAL CLOSET(パルクローゼット)」を運営する株式会社パルは、2025年6月15日深夜に発生した不正アクセスを受け、多数の利用者に対して発生していた事とパスワードの再設定依頼をしています。なお、不正アクセスによるクレジットカードなどの個人情報漏洩は発生していないとの事です。
目次
多数の「ログイン通知メール」で発覚
今回の不正アクセスは、6月15日深夜1時頃から発生。複数の利用者に「ログイン通知メール」が一斉に届いたことで、事態が発覚しました。ユーザーからの問い合わせが相次ぎ、同社は対応に乗り出しました。
パスワード流出は“なし”、でも再設定は必須
株式会社パルによると、パスワードはすでにハッシュ化(復元できない形式)されており、社内から流出した形跡はないとのことです。
ただし、万が一に備えて、すでに設定済みのパスワードはすべて使用できない状態とし、再設定を促す措置を取っています。
推定される攻撃手法:パスワードリスト型攻撃(Credential Stuffing)
この攻撃は「パスワードリスト型攻撃(Credential Stuffing)」と呼ばれ、近年、あらゆる会員制サイトで問題になっています。
攻撃者は自動化されたスクリプトを使って、数百〜数千件のアカウントに対して一斉にログインを試みます。
その結果、一部の使い回されていたパスワードが“偶然”正解だった場合、不正ログインが成立してしまいます。
攻撃者は利用できるID/パスワードをリスト化し
・別のサービスへの不正アクセスに利用
・リスト自体をダークウェブで販売
などが可能になります。
上記から、不正アクセスの対象になった方は、パスワードを変更しパスワードの使いまわしを辞める。通販サイト運営者は多要素認証を提供するなどが必要になります。
一部参照
https://www.palcloset.jp/display/article/detail/?acd=250616all_001
関連記事
Booking.comを装ったフィッシング攻撃とソーシャルエンジニアリングで認証情報窃取マルウェアを配布
SonicWall SMAシリーズを狙うVPN認証情報窃取キャンペーンが進行中 CVE-2021-20035の悪用か
The North Face(ザ・ノース・フェイス)、4月のECサイトへのサイバー攻撃で個人情報閲覧の可能性
Windows Update の欠陥で「パッチ解除」が行われるダウングレード攻撃が可能に
SonicWallの重大な脆弱性(CVE-2024-40766)を ランサムウェア 攻撃グループAkiraが悪用
Gitと関連サービスの脆弱性により認証情報が漏洩
中国や北朝鮮が生成AIをサイバー攻撃やソーシャルエンジニアリング、プロパガンダ拡散に悪用
JPモルガン・アセット・マネジメントが倉業サービスのランサムウェアとサイバー攻撃により個人情報漏洩の可能性を発表
ピクテ・ジャパンが倉業サービスのランサムウェアとサイバー攻撃により個人情報漏洩の可能性
