三越伊勢丹ホールディングス運営の食品サービス「ISETAN DOOR」で第三者による不正ログイン事案が発生。
不正ログインは2024年11月24日20時40分ごろから翌25日の22時ごろにかけて行われていたという。
同社の調査から、攻撃は外部で取得されたIDおよびパスワードが悪用され、顧客のアカウントに不正にアクセスされる「リスト型アカウントハッキング」によるものとされている。
他サービスで流出したID・パスワードを使用してなりすましログインが行われ、セキュリティ対策として導入されていたウェブアプリケーションファイアウォール(WAF)を回避されていた。
当該攻撃により、11,073件分のアカウントの個人情報が流出したとみられており、氏名、住所、電話番号、メールアドレス、購入履歴などが該当している。
なお、クレジットカード情報は決済代行会社で保管されていることから被害の対象外だった。
三越伊勢丹は対応として、パスワードの再設定と登録情報や注文履歴の確認、スパム・フィッシングメールへの注意喚起など顧客に呼びかけている。
また、今後の対策としてサーバー側でのなりすましログイン検知後の防御策を強化し、Google社提供の不正ログイン防止機能「reCAPTCHA」を導入すると説明されている。