宅配大手のヤマト運輸が、再配達の依頼や配達状況の確認などをするための会員制の「クロネコメンバーズのWebサービス」において、不正ログインがあったことが判明した、と発表し、謝罪した。
3400件以上の個人情報が閲覧され、流出した可能性があるとしている。
発表によると、7月23日に不正ログインを確認。
第三者から約3万件ログインを試され、不正に入られたのは3467件にのぼった。会員のうち、メールアドレス未登録者の被害はないという。一方、登録者は次の項目が閲覧された可能性があるそうだ。
クロネコID、メールアドレス、利用の端末種別(パソコンまたは携帯・スマートフォン)、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報(カード番号の下4桁・有効期限・氏名)、アドレス帳情報(氏名・住所・電話番号)
ヤマト運輸は、緊急措置として、該当のIPアドレスからのログインを遮断するなどの対策を実施。
不正ログインのあったIDは、パスワードを変更しなければ使用できないようにもした。対象となる会員には、個別に案内するという。
調査の結果、不正ログインに使われたIDとパスワードは、同社で使用されていないものが多く含まれていた。
そのため、他社サービスから流出した可能性があるIDとパスワードを使ってログインを試みる「パスワードリスト攻撃」による不正ログインだとしている。
今回の件を受け、ヤマト運輸はこう謝罪した。
「クロネコメンバーズのお客さまをはじめとする皆様にはご迷惑とご心配をお掛けいたしましたことを心よりお詫び申し上げます」
「今回の事態を厳粛に受け止め、再発防止に向けてさらにセキュリティの高度化を図ってまいります」
そして、パスワードの定期的な変更と、設定の際には、次の点に注意してもらうよう呼びかけた。
(1)他のサービスでご利用になっているパスワードのご使用はお控えください。
(2)極力、過去に使ったことのないパスワードをご使用ください。
(3)第三者が容易に推測できるパスワードのご使用はお控えください。