佐川急便は2025年10月15日、会員向けサイト「スマートクラブ」で第三者による不正ログインを検知したと発表しました。外部で不正に入手されたIDとパスワードが使われた可能性が高いと説明しており、発生期間は10月15日(水)17時22分から10月16日(木)12時00分までとしています。
現在判明していること
-
不正アクセス元のIPアドレスは特定済みで、すでにブロック対応を行っています。
-
サーバーや業務システムへの影響は確認されていません。
-
クレジットカード情報や銀行口座情報の漏えいは発生していません。
-
不正ログインの可能性がある利用者には、同社から個別に連絡します。
-
安全確保のため、同社サイト内の「マイページ」へのアクセスは一時的に制限中です。
利用者への呼びかけ
同社は、他サービスと同じID・パスワードを使い回している場合は速やかな変更を求めています。マイページのアクセス再開後は、パスワード変更と2段階認証の有効化を強く推奨するとしており、再開時に改めて案内を行う予定です。
パスワード変更と2段階認証が必要な理由
今回の不正ログインは、外部で流出したID・パスワードの「使い回し」を狙った攻撃(いわゆるクリデンシャルスタッフィング)が疑われています。つまり、どこか別のサービスで漏れた認証情報をそのまま入力され、正しい組み合わせであればログインされてしまう仕組みです。
パスワードを変更することで、万一攻撃者に知られている可能性のある旧パスワードを無効化でき、以後の不正アクセスを断ち切ることができます。
あわせて、同じパスワードを使っている他サービスがあれば必ず個別に変更し、長くて推測されにくいパスフレーズを使うことが重要です(パスワードマネージャーの利用が有効です)。
2段階認証(2FA)は、「知っている情報(パスワード)」に加えて「持っているもの(ワンタイムコードや認証アプリ)」「生体情報」などを追加で求める仕組みです。これにより、仮にパスワードが漏えいしても、攻撃者は第2要素を用意できない限りログインできません。
多くの不正ログインはパスワード単独の突破を前提としているため、2FAを有効にするだけでリスクを大幅に下げられます。可能であればSMSよりも認証アプリ方式を選び、パスワード変更後に2FAを設定して、現在のログインセッションのサインアウトや端末の見直しも併せて行うと、いっそう安全性が高まります。
関連記事
多要素認証(MFA)を回避しMicrosoft 365へ不正アクセスするフィッシングサービス Rockstar 2FA
佐川急便「スマートクラブ」で不正アクセス、ID・パスワード流用が原因か
著名セキュリティ研究者がMailchimpを装ったフィッシングメールの被害
秋田市「旧松倉家住宅」公式サイトが不正アクセス被害 個人情報385件流出の可能性
米 女性向けマッチングアプリ Teaで情報漏洩-72,000件以上の個人情報漏洩の可能性
ジム会員の通話と留守電160万件や個人情報が漏洩、AI製ビッシングへの悪用も指摘
防衛省、サイバー攻撃を想定した大容量通信網を整備
Google・Facebook・Instagram含む1億8400万件のメールアドレスやパスワードなどの認証情報や個人情報流出
生成AIによりフィッシング詐欺が高度化
