ニトリ 会員13万件余りのアカウントに不正アクセス 個人情報漏えいのおそれ [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
※NHK
ニトリ 会員アカウントに不正アクセス 個人情報漏えいのおそれ
https://www3.nhk.or.jp/news/html/20220921/k10013830241000.html
2022年9月21日 18時57分
家具日用品大手の「ニトリホールディングス」は、13万件余りの会員のアカウントが、不正アクセスを受け、登録されている氏名や住所、購入履歴などの情報が、漏えいしたおそれがあると明らかにしました。
会社は、会員に対してパスワードの再設定を呼びかけています。
「ニトリホールディングス」によりますと、19日、公式アプリ経由で、会員のアカウントに大量の不正なアクセスが行われていることが判明し、詳しく調べたところ、20日までの6日間でおよそ13万2000件のアカウントが、不正にログインされたおそれがあるということです。
そして、氏名や住所、生年月日、購入履歴などが、不正に閲覧されたおそれがあるとしています。
会社が詳しく調べたところ、大量の不正アクセスは「リスト型攻撃」と呼ばれる手口によるものとみられ、何者かが会員のIDに使われているメールアドレスとパスワードのリストを悪用して、アクセスを行った可能性があるということです。
会社は、利用者に対してパスワードの再設定など、注意を呼びかけています。
「ニトリホールディングス」は、ホームページで「多大なるご迷惑とご心配をおかけしますことを深くお詫び申し上げます。事態を重く受け止め、安全性の確保に努めてまいります」などとコメントしています。
※関連リンク
https://www.nitori.co.jp/news/important.html
2022/09/20
「ニトリアプリ」への不正アクセスによる個人情報流出の可能性に関する お詫びとお知らせ[PDF360.0 KB] この手のって大変なことになったことないけど本当に漏れてんの?
善意の第三者が気づいた程度? システムごとにパスワード変えてるからセーフだったぽいわ あーあー
脆弱性検査ちゃんとやってないんじゃないの?
やっすいツールで済ましたりとか メアドとパスワード流出はまずいなあ……(´・ω・`) ライブ配信中止になったのって、これの対応に追われてたのかな ニトリじゃないと家具も買えないような人らは大変だな >>18
ね、配信中止のメール来て逆に何かと思ったわ 大量のアクセスあったらハニーポッドになるとか遮断するとかしないのか? >>24
そんな予算かけるわけねーじゃん
大手だってアジャイルでやってくれ!(クラウドで早く安くできるんだよね!)って新規構築でも2k万も出さない時代なんだからw どうしてくれるんだ
メルアドとパスは他サイトで使ってて重要なのに こういうのは誕生日とか単純なパスワードにしちゃダメなんだよ
例えば鈴木だったらBell+r33とか英語に変換→一部を数字と記号に置き換えで
完璧に破られないパスワードになる ニトリも春頃から値上げが半端ねーよな
もうニトリは庶民が買えない値段になった パスなんて管理ソフトで全て個別にやってるこら覚えてすらいない。 やばい、ニトリで買った椅子やソファ、そしてベッドに染み込んだお姉さんたちのオナラの匂いが実名付きで知れ渡ってしまう
おねえたん異常ニッコリ♫ パスワード変える必要ないと言ってる勢力がいるが絶対に違うと思うわ
この手の漏洩を無力化する為にも定期変更は必要 ログインID=メールアドレスのシステムも考えものだな 昨日自分のメアドから件名にパスワード書かれた英文メール来てどこから漏れたんだと思ってたんだがニトリだったのか? リスト型で13万件とか信じられんな
パスワード使いまわしてるバカがこんなにいるのか 会員証で財布パンパンになるの嫌だから目の前にニトリあんのにアプリにしたらこんなはめに >>32
そんなもんは関係無い
ブルートフォースアタックに対抗するには文字種と長さな
記号、数字に大文字小文字も使わないとたった8文字じゃ破られるぞ でも同じリスト使ってGoogleかAmazonにアクセスした方が権限でかい気がするな 商社程度で客の生年月日なんて管理したがる企業は他人事だと思わず反省しろよ? 電話番号で会員ナンバー調べられるから名前と電話番号はすぐわかるな ディスクユニオンから漏れた70万件が使われてるのかな
13/70じゃ当たり過ぎだから他のも混ざってるんだろうけど お詫びメール来てたけど、最初フィッシング疑ってたw そいや最近迷惑メール多いわ。ニトリのせいだったのね。 不正アクセスで利用者に被害与えたんだから、謝罪だけじゃないだろ。この辺法律化すべき。 多要素認証にしたらジジババが着いてこれなくなるしな 生年月日とか性別とか買い物するのに登録させる必要ある?っていつも思う
企業がデータ集めたいだけじゃん 英数字大文字小文字記号の組み合わせで12桁あれば先ず安全なパスワード
使い回しは防げん マイナンバーカード制度はマイナンバーカードを作る総務省を守るための制度
でも根拠もなく不思議と不正アクセスされない特別な制度らしい リスト型攻撃なら何処か他のところから漏れたのをここで試したのか?
それともここから漏れたリストをここで試したのか? やっぱネット系は多段階認証にしないとダメやが
そうするとジジババ壊滅するしなあ ニトリ登録してたかなあ
色んなネットショップ登録してて覚えてねえ ジジババは別ルートにするのが本当のdx
スマホをマイナンバーカードとして使えたり
免許証をマイナンバーカードとして使えるようにしたり
保険証をマイナンバーカードとして使えるようにしたりするのが先だし社会的なコストも減らせる
それをしないのは総務省の新たな利権を護るため
岸田は開成だけど文系だから仕方ない >>1
ヤホオの個人情報がロシアのスパイにもってかれたとかって、その後どうなったん? ホテル枕とポケットコイルマットレス買ったのバレちゃったじゃないか(´・ω・`) 謝罪とパスワード変更のメール来てた
こういうのって、謝って終わり?
まぁ、終わりなんだろうな 引っかき傷に強いソファーがお買い得だった
犬猫には破壊されるらしいけど(youtube) >>1
これで何も責任取らんしお咎め無しとかスゲーよな だから、俺はサイト登録するときに
個人情報を一部嘘ついて登録するんだよ
サーバーのDBなんて、漏れるもんだと思っている ニトリも災難やな
非があるとすれば6日間もアクセスを許したことくらい? よくこういうの聞くけどクレジットカードなし貯金なし親無し兄弟無し賃貸ぼろアパート3万円の俺は無敵だ 13万件のSNS人生終わった!!!
激おこぷゅんぺぁん麿!!! ディスクユニオンのせいで毎日迷惑メールが来る。
メアド変えるの大変なんだわ。 リスト型攻撃じゃん
だったら使いまわしてるやつは他も危ないだろ >>103
最初に流出させた会社があるということだな これニトリのせいだと思ってるやつやべえわ
個人情報流出チェックできるサイトで自分のメールアドレスとパスワードが流出してないか確認してこいよ お値段以下それなみの商品が中華から送りつけられてしまう… 生年月日とか性別とか通販に必要がない情報まで収集しておきながら、お漏らしするとかw
管理しきれないなら集めなきゃいいのにねと思うバカ企業はかなり多い >>108
リスト型攻撃に使われたIDとパスワードはニトリに責はないけど
問題は9/15から5日間、リスト型攻撃を受けているのに(つまり大量のログイン失敗が出ていたはず)
ロックアウトをしたりアクセス元をブロックしていないことが問題
その結果、5日間で13万アカウントを超える会員情報が抜かれたわけ
んで情報漏洩と言っているのはこの部分
攻撃者はどこからか得たIDとパスワードのリストから
そのIDがどこに住んでいる誰のものでそのメールアドレスと電話番号などを
13万人以上得たということ バカはパスワードがリスト化されていることを考慮しないでユーザータタキ >>104
>>105
リスト型攻撃に使われたIDとパスワード自体はその通り
漏らした別の会社なりシステムの問題
だけどそのリスト型攻撃の対策が不足ないしできていなかったことはニトリの責ということ
13万以上の会員情報が閲覧されるということは
相当なログイン失敗も出ていたわけで
普通ロックアウトやブロックなど行うべき問題 >>1
暴露するとニトリのアルバイト雑誌に
乗ってる女の子は、一部15年前の写真を
利用してます。
(私です) あと今回の件にも関連はするけどニトリネットが脆弱なのは
パスワードに記号が使えない
多要素認証が使えない
クレカ決済が3Dセキュア非対応(カード裏のセキュリティコード) かつてクレジットカードの情報を流出させた巨大掲示板があったらしい(^_^;) また いつもの個人情報流出?
500円の図書券くれるの? あちゃー
該当するかわからんけど一応パスワード変えたほうがいいかな? >>35
地元の家具屋のアウトレット品のほうが品質が高くて安い 家具なんて会員になるほど頻繁に買うか?
そもそも会員になる意味がわからん 家の近所のデコホームは隣がダイソー
たまにほぼ同じものが1/5ぐらいの値段で売ってたりするから驚く >>57
と言う事はメールとパスワードが過去の流出リストに含まれてるって事でしょ
他のサイトでもやられてるよそれ >>109
リスト型攻撃ってのは大量のメールアドレスとパスワードのリストを使って特定サイトに赤の他人が会員に成り済ましてログインを試みること
そのリストもニトリから流出したものとは考えにくい
もしニトリから入手できるのなら最初から住所氏名の方を入手する
わざわざアドレス・パスワードを入手してバレるリスクを冒して不正ログインをして住所氏名を調べるというのは全くの無駄
最初から住所氏名のリストでいい
アドレスとパスワードのリストの出所は正直まともではないだろう
例えば違法アダルトサイトとかだな
違法サイトなんかはそもそも特殊詐欺の組織が元締めだったりして不正請求に悪用するための個人情報を欲しがってる
でもアダルトサイトの客が本物の個人情報なんか登録する訳がないからパスワード使い回しを期待して通販サイトに不正ログインする訳だ
通販サイトなら商品を受け取るために本物の個人情報を登録してるからな
確率は高くないがシステム使って何万人分も試せば数件はログイン成功する
あとは盗んだ住所氏名宛に恐ろしい感じの督促状を送り付ければ後ろめたいしパスワード使い回すような情弱の客だし「何で住所バレてるの!?」って涙目になって尼券で代金を払う訳だ リスト型攻撃か。なら俺のは大丈夫そうだな
パスワードは全サイト別のにしてあるんで >>112
リスト型攻撃への対策って何?それどうやんの?
無理じゃね?リスト型攻撃なんて誰でもできることなんだが?
知人のメアドと誕生日入力するだけでリスト型攻撃なんだよなぁ
どうやって防ぐっていうんだ? なんでもホイホイ登録する人間は危機意識が麻痺してるのすら気がついてない >>112
ログインされたおそれと書いてあるだろ
これは単にメールアドレスとパスワードが入力された回数を集計しただけと見るべき >>134
ユーザー側がID/PWの使い回しをしない
ID/PW以外の認証要素を追加
リスト型に対抗できるのは基本これだけ 謝罪だけで済ますの?
それで再登録しろって?
ふざけてるとしか思えない 大文字小文字英語数字のランダム16文字でも破られた俺。
セキュリティなんて無駄。 >>134
ロックアウトやブロッキングです
当たり前の対策なんですが
最低でも13万回以上もやられてたんですよ?5日間で >>136
それでも13万回以上もやられていたわけで
ロックアウトやブロッキングしていない証跡ですよ >>137
それは利用者側の防御策ね
ウェブサイトを運営する側としては
ロックアウトやブロッキングは当たり前の防御策
他にも多要素認証を入れたりも当たり前になってる
ニトリのウェブサイトは
パスフレーズに記号が使えない
多要素認証も使えない
ロックアウトもブロッキングもされていない
クレカ決済が次世代セキュアでない(カード裏の3桁のセキュアコード利用) だからもうポイントカードとか作りたくないんだよな
たかだか数十円の為に個人情報書かされた挙げ句、全部情報抜かれるっていう >>144
それなのに政府は給与をPayPay払い可能にするらしいぞっwwwwっw 会員登録してもこんなことする企業ばっかりだし
ポイントもらうより個人情報のデメリットの方がでかい
馬鹿馬鹿しい Nウォーム布団買ったのバレるのか
あれ?別に問題なくね? 大量アクセスの不正検知はしてなかったのか
数字報告用とかで集計してみたら「ログイン数爆上がりじゃん!何これ!?」てな感じでわかったのか、大量ログでサーバーの容量枯渇でアラートが上がったとかかな >>146
リスト型攻撃なんで他の会社なりシステムから漏れたパスワードニトリで同じパスワード使っていれば突破される なおもしロックアウトやブロッキングをしていて13万アカウントもアクセスされていたなら
閾値の設定がガバガバだったか、攻撃者側が巧妙だったかだけど
(複数からやりつつ毎回IPアドレス変えて、アクセス間隔も調整するなどがよくある)
それでも被害受けた期間が9/15-9/20と長いし
トータル13万以上と言っているんでロックアウトやブロッキングはなかったか
相当設定がガバガバだったとしか思えない ニトラーなら500円貰えてラッキーって思うんじゃね あーでも9/15から9/20の6日間だと1日は86400秒なので約51万秒強か
これならアクセスされた回数が13万2000回なら4秒弱に1回試せばいいからいけなくもないか
まあそれでも13万回が全試行回数だったとしても相当なログイン失敗ログ上がってたはずだし
いずれにしてもニトリ側はザルだと思うけどね >>158
しかもトップにあるのは実質的にパスワード変更しましょうがメインで
セキュリティー事故報告書についてはその文章からさらにリンク遷移なんだよねwwww マジか!
漏れたメルアド、パスワードは他のサイトでも使ってるは。最悪。ぴえん🥺 ニトリすら高く感じるようになっちまった(´・ω・`) >>160
リスト型攻撃をニトリが受けた事案なんで
そもそも今回IDパスワード漏れたんじゃなくて
とっくの前に漏れてんだぞそれw >>163
重要なのはニトリにある個人情報じゃなくて
ログインが成功したIDとパスワード使い回してる奴のリスト >>165
なるほど
めっちゃ納得したわ
世の中には賢い人が多いね 次の連休に全サイトのパスワード変更しないと。
なんか自分アホみたい。
🥺 アプリで登録だとメールアドレスすら入れてないのでは?
スマホ乗り換え時ポイント全消えした気がするけど
変わったのかな? 通販は何度か使ったことあるけどアプリは入れてないけど漏洩してるんだろか アカン、布団圧縮袋を買いまくっていることかバレてまう🤫 なんか変な仕様だなと思ったし
そういうとこは危ないのかもしれんな 名前や住所よりクレジットカード情報が目当てだろう
クレジットカードのことは意図的に書いてないのか? すげーな一般アカウント13万件それぞれにリスト攻撃して突破したのか >飲酒は睡眠の質を悪化させ、睡眠障害の重大な原因となります。
>飲酒はメンタル疾患のリスクを大きく高めます。
>多量飲酒者では、うつ病のリスクが3.7倍、認知症のリスクが4.6倍、自○リスクを3倍にも高めます。
>そもそも、「お酒でストレス発散ができる」という考えは、科学的に間違いです。
>お酒を飲むとストレスホルモンである「コルチゾール」の分泌が増えます。飲む期間が長くなるにつれ、ストレス耐性が下がり、「抑うつ」の度合いも高まります。
>ストレスが溜まって、飲酒量が増えることは、「うつ病」に向かって、一気に突き進んでいることと同じです。
「お酒でストレス発散はできない!」医者が断言する正しい飲酒 | ストレスフリー超大全 | ダイヤモンド・オンライン
https://diamond.jp/articles/amp/244881 欧米ではノーマスク!すでに日常!日本もはよ5類!取り残されるぞ!
でも
欧米でずっとやっているコロナ減税にはダンマリ
欧米では物価高対策でさらなる減税にもダンマリ
円安の意図的な放置とも取れるインバウンド賛美
そして
高額医療費制度廃止検討
日本人は5類で保険診療でも訪日外国人には公費で手厚い医療提供すべきと尾身ら提言
庶民の給与は電子マネー検討
相続税・贈与税の徴収強化検討 ←イマココ
金融所得課税強化、たばこ税増税 ←イマココ リスト型攻撃は既に漏れているIDとpasswordでログインするものであってニトリがIDとpasswordを漏らしたものではない、パスワードを使い回すリテラシーの低い利用者の問題 >>188
リスト型攻撃に対する対処が不足しているのはニトリの責だぞ なんでニトリから漏れたリストじゃないってわかるの?
13万て多すぎん? >>189
エンジニアからすれば二段階認証未対応なんてけしからん!と判断するのは当然だが、利用者側からすれば二段階認証未対応のサービスは未だ数多くあるわけで、パスワードを使い回すなと周知したほうがいい ニトリのアプリ自体は便利だけどな
ネットショッピングと店舗の連動としてはよくできている ニトリ利用する人って転勤族だろ?
個人情報あまり価値がないような ニトリだけ最後まで既存アドレスに置きっぱなしにして
それ以外はメアド変えたほうがいいな >>192
13万アカウントの登録情報漏らした会社が
パスワード使いまわしていた13万人が悪いなんて言ったら大炎上だろ >>198
俺はニトリではなく、昼間から5chに書き込んでるニートだ 二要素認証だの連続試行のブロックだの事業者側の対策もあるけど、パスワード使い回ししないのは最低限の自衛策だろ >>201
でも13万2000アカウントが漏れたってプレスリリースやん
パスワード使いまわしているやつも悪いけど
さすがに攻撃に気づけよってレベルなんだが >>202
お漏らしかw
利用者は対策しようがないな >>203
サーバーへの攻撃とかでデータベースから抜いたとかじゃなく
リスト型攻撃でなりすましログインができただけだから
正規ログインの会員情報画面で見ることができる番号の一部はマスキングされたクレカ情報なんだろう
ついでにセキュリティーコードは会員画面にないから不正利用はないと言ってんだと思う >>204
利用者側の自衛としては
・パスフレーズを強度の高いものにする(長さや複雑性)
・サイトごとに異なるパスフレーズにする、ただし末尾を変えただけとかはしない
だけでも防げる
ニトリ側の落ち度は
・パスフレーズに記号が使えないチンカス
・MFAが使えないチンカス
・ロックアウトやブロッキングできていないチンカス
(132000アカウントがリスト型攻撃されていたのだからログイン失敗ログでも気づけるレベル)
・クレカ決済の3Dセキュアが使えないチンカス
というとこ >>206
運べるトイレブラシ買いまくっているのもバレてる >>182
アカウントが使えるか使えないかが大事
使えるアカウントの確認ができただけで大収穫 >>212
ニトリが悪いわけじゃなく
メアドとパスワードを使いまわしてるやつが悪いだけだぞ
ニトリは発表してくれたからいいけど
使いまわしてるやつが悪いから発表しない会社なんてザラにある
元を辿るとどこがお漏らししてるわけだけどな >>214
もし盗まれた個人情報に含まれてたら
個人情報を登録してない人に比べて犯罪に巻き込まれる可能性が跳ね上がる
なりすまされて悪事を働かれる
詐欺メールや詐欺メッセージが頻繁に届くようになる
特殊詐欺や空き巣に狙われやすくなる >>213
リスト型攻撃に使われたIDパスワードは他が漏らしたものだけど
リスト型攻撃受けていてブロッキングもロックアウトもできずに132000アカウントの登録内容を攻撃者に漏らしたのはニトリの責だろ >>213
リスト型攻撃は基本的に
大量のログイン失敗ログがあがる
→例えば100万ID分のリストを使って100万ID全部ログイン成功することはまずない(ニトリじゃないところから漏れたIDパスワードの集積なんだから)
なのでログイン失敗ログの上昇で気づく
ある程度同一の接続元から攻撃がある
→1回1回IP変えてくるやつはあまりいないので、IDとよく使われるIPの関係性を監視する仕組みがあれば気づく
一定時間内でのログイン試行がある
→これもスローDOSを監視する仕組みがあれば気づく
など気づきポイントはいくつかあるんだよ >>214
もうすぐ
「このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので」
と書かれた迷惑メールが多数届きます >>215
>>218
既に迷惑メールはたくさん来てるで
グーグル先生が素晴らしい仕切りで迷惑フォルダに直行しとる 使い回しが13万件あったのかな?
リスト型攻撃で侵入されたあと脆弱性を突かれたんじゃなくて? ディスクユニオンの流出食らったけど、流出日から急に同じメルアドのサイトから不正アクセスの可能性がってメールがバンバン来てビックリしたわ。
あいつらメルアドとパスワードで有名なSNSに片っ端からアクセス始めるらしい。
本当に運良く二重認証とかで助かったけど。 パスワードとメアドのセットで他のサイトでも使い回してる人って、普段ネットで買い物するたちの何割いるんだろう? >>2ですけど
ニトリからメール来てた
セーフらしい
平素より、弊社グループをご愛顧いただき、誠にありがとうございます。
この度、弊社ニトリネットのニトリアプリ認証プログラムに対し、不正アクセスの事象が発覚しております。
本メールの宛先のメールアドレスにおかれましては、弊社調査の結果、不正ログインの履歴はございませんでしたため、お知らせさせていただきます。
なお、ご自身のアカウントの不正利用を防ぐため、今後とも、定期的なパスワードの変更をお願いいたします。
その際、以前ご利用頂いていたパスワードや、すでに他のサービスなどで設定されているパスワードのご利用は避けていただきますようお願いいたします。 >>1
通販利用したことあるからカード情報漏れてないか心配だな 履歴に無いとか言うけど
不正アクセスで馬鹿正直に足跡残すか? >>224
それがドコモの迷惑メールフォルダに入ってるのだが お前は大丈夫だったけど、パスワード定期的に変えろ
とニトリからメールきた。 いやそれだとニトリ会員のうちの13万人はもとよりダダ漏れでは >>221
それならリスト型攻撃いわないだろw
パスワードリセットしましたじゃ済まない >>232
あー、勘違いしてたわ
13万漏洩じゃなくて13万に対してアタックがあったってことね 家具は買わないけどザルとかペラペラのまな板とかのキッチン用品を買う >>230
俺の所にも来てたわ
これきっかけでまた攻撃受けそうw どうでもいい情報だわ
みんなどこでもポイントカード出して喜んで情報提供してるくせに
セキュリティは大事だが必要以上に騒ぐためIT化がいろんなとこで遅れてる 数日前から毎日大量に迷惑メール来るようになったのはこれか >>235
台風被害を考慮してかと思ったがこっちだろうね >>27
いくらでもある
甘いセキュリティサイトからスマホに侵入してから
パスワード見れば簡単だ >>241
オープンした時しか買ってないのに悪い気もする >>1
悪いのは脆弱なアプリを作った3次請け4次請けの奴らの責任
ニトリや元請けを責めるのは筋違いだ >>246
ニトリの情シスの責任に決まっとろうが。
企画して依頼を出した側が検収するのは当たりまえ だってここの創業者って中国を崇拝してもん
なんだっけ、日本はすべて中国から学んだとか言ってるし >>250
すべてではないが…日本が独自につくったものって魚を生で食うとか、松茸やウニやミョウガ食うとかくらいでは?
あとカップ麺とかカニカマとか ■ このスレッドは過去ログ倉庫に格納されています