【セキュリティ】ニトリ、不正アクセスで13万2000件の個人情報流出か　リスト型攻撃で [ムヒタ★]

**ムヒタ ★** · 2022/09/22(木) 07:47:47.21

　家具大手のニトリは9月20日、スマートフォンアプリ「ニトリアプリ」において不正アクセスが発生したと発表した。約13万2000アカウントが不正ログインを受け、個人情報の一部が流出した可能性があるとしている。

　不正ログインは9月15日から20日まで発生。19日に流出が判明したという。対象ユーザーは、ニトリネット／ニトリアプリ／シマホアプリで会員登録したユーザーの他、シマホネットでニトリポイントの利用手続きをしたユーザー。

　攻撃手法は、ニトリ以外のサービスから流出したユーザーIDとパスワードを使って不正ログインを仕掛ける「リスト型アカウントハッキング」（リスト型攻撃）と推測。ニトリネットのニトリアプリ認証プログラムに対して仕掛けられたとする。

　流出した可能性のある個人情報は、メールアドレス、パスワード、会員番号、氏名、住所、電話番号、性別、生年月日、建物種別（戸建／集合住宅）、エレベーターの有無、ニトリメンバーズの保有ポイント数、一部が目隠しされたクレジットカード番号、有効期限。

　なお、クレジットカード決済に必要な情報はシステム上で保持しておらず、今回の不正ログインでカード決済が実行されることはないとしている。

　ニトリでは、不正ログインされた可能性があるユーザーのアカウントに対し、順次パスワードのリセットを実施。パスワードを再設定する場合は、他のサービスで利用しているパスワードを使い回さないように案内している。

　併せて、新規の不正ログインを防止するために、セキュリティ機器を強化する他、さらなる強化策を検討するという。
2022年09月21日 23時50分
https://www.itmedia.co.jp/news/articles/2209/21/news213.html

**名刺は切らしておりまして** · 2022/09/22(木) 07:51:10.04

普通にアクセスだったりして(笑)

**名刺は切らしておりまして** · 2022/09/22(木) 08:04:44.71

>>1
> 流出した可能性のある個人情報は、...、パスワード
まさかと思うがパスワードを平文もしくは可逆可能な形で保存してたのか？
そうなら流石にバカすぎるだろ...

**名刺は切らしておりまして** · 2022/09/22(木) 08:06:18.72

どうせお前らGoogleアカウントのIDとPWを使い回してんだろ？
一旦漏れたら止まらないよ

**名刺は切らしておりまして** · 2022/09/22(木) 08:11:19.97

某音楽ショップで大量流出したリストで攻撃した悪寒

**名刺は切らしておりまして** · 2022/09/22(木) 08:21:21.64

>>1
セキュリティーもお値段程度なら笑える･･･

**名刺は切らしておりまして** · 2022/09/22(木) 08:25:53.10

企業のセキリティが突破されるのだから
個人PCのセキリティなど気休め程度だよね？

**名刺は切らしておりまして** · 2022/09/22(木) 08:28:27.95

メイン使用のメアドは3-5年ごとに変えるといい
どうせ無料で作れるのだから

**名刺は切らしておりまして** · 2022/09/22(木) 08:35:11.42

会員登録しなくてよかった

**名刺は切らしておりまして** · 2022/09/22(木) 08:38:12.82

MS以外のセキリティに入っているがネット決済はしない
メールも必要なもの以外は開かない。PCに大切な情報も保管しない
最初からセキリティは要らない気がするｗ

**名刺は切らしておりまして** · 2022/09/22(木) 08:58:57.16

お値段以下

**名刺は切らしておりまして** · 2022/09/22(木) 09:07:12.53

媚中企業だから、自ら率先して流しているだろ

**名刺は切らしておりまして** · 2022/09/22(木) 09:55:30.94

>>5
対応糞過ぎてほんまアレやでユニオン

**名刺は切らしておりまして** · 2022/09/22(木) 10:34:53.29

これはニトリの責任ではないわな。

**名刺は切らしておりまして** · 2022/09/22(木) 10:37:28.77

>>4
全サイトで100%別のパスワード使ってるよ
IDもメールアドレス10種類くらい利用して、必要に応じてメインのメールアドレスに転送するようにしてる

**名刺は切らしておりまして** · 2022/09/22(木) 10:40:25.20

次はサントリーの番か？

**名刺は切らしておりまして** · 2022/09/22(木) 10:41:32.88

クレカ情報の一部が盗まれた事に大事感出してるけど
氏名やら住所やら電話番号等々、がっつり盗まれすぎじゃね？

**名刺は切らしておりまして** · 2022/09/22(木) 10:46:11.36

普通にアクセス出来ても不正アクセスって事にすれば良いよね。

**名刺は切らしておりまして** · 2022/09/22(木) 10:59:13.81

我々は眠いんだぉ～

**名刺は切らしておりまして** · 2022/09/22(木) 11:04:39.96

リスト型攻撃で流出って
被害者側には責任ないのに報道されるとかわいそうよね

**名刺は切らしておりまして** · 2022/09/22(木) 11:04:54.62

ニトリ以外のサービスから流出

**名刺は切らしておりまして** · 2022/09/22(木) 11:07:55.55

このスレでも勘違いするしてるのがいるが
ニトリは正しいIDとパスワードを入力されたからログインさせただけだ
それがリスト型攻撃

**名刺は切らしておりまして** · 2022/09/22(木) 11:20:51.08

>>17
ログインしたら全部見られるのが普通じゃね？

**名刺は切らしておりまして** · 2022/09/22(木) 11:28:43.00

心配になって確認したら名前と電話以外適当だったw
配送とかしてもらわないからな

**名刺は切らしておりまして** · 2022/09/22(木) 11:29:32.75

>>22
なるほど
それじゃ不正アクセスじゃないじゃない

**名刺は切らしておりまして** · 2022/09/22(木) 11:31:40.19

同じ商品で価格が同じでも送料無料で届けてくれるヨドバシ

**名刺は切らしておりまして** · 2022/09/22(木) 11:31:43.17

>>20
自分とこに一致するアカウントでログイン成功したのはしょうがないにしても、
大量のアカウントで接続確認されまくってるわけだろ？
そういう不正ログインを監視する仕組みって作っとかないの？

**名刺は切らしておりまして** · 2022/09/22(木) 11:33:27.65

ニトリを騙るスパムが来そうww

**名刺は切らしておりまして** · 2022/09/22(木) 11:38:48.42

>>25
他人のIDパス使ってログインして買い物とかして逮捕されてるのたまにいるやん

**名刺は切らしておりまして** · 2022/09/22(木) 12:00:20.90

俺がスケベ家具買ったのがばれてしまう

**名刺は切らしておりまして** · 2022/09/22(木) 12:20:08.77

>>1
これニトリの報告書見たけど、自分とこにクレジットカード番号は保存していないとか言いながら、番号の一部(下4桁とか?)は漏れた可能性有りなんだよな
何がご安心くださいだ、ふざけんな

**名刺は切らしておりまして** · 2022/09/22(木) 12:38:28.19

ニトリのセキュリティ、略してトリニティ

**名刺は切らしておりまして** · 2022/09/22(木) 13:07:12.27

ニトリのアプリは立ち上げるたびにパスワードを要求してくるから
俺もそのうち共通パスワードにしようかと考えてたとこだわｗ

たいしたダメージ無いとこは手抜きパスワードにしようとしてたんだが
やっぱり止めとこうかな

**名刺は切らしておりまして** · 2022/09/22(木) 13:19:48.80

>>3
リスト型攻撃を調べてから書きこめ

**名刺は切らしておりまして** · 2022/09/22(木) 14:08:21.67

>>34
なら流出って書くなよw

**名刺は切らしておりまして** · 2022/09/22(木) 15:22:53.53

パスワード使い回すとか恐ろしいことしてる人結構おるよね

**名刺は切らしておりまして** · 2022/09/22(木) 15:27:48.69

パスワード無効再設定お願いのメール来てなかったからうちはセーフみたいだ

**名刺は切らしておりまして** · 2022/09/22(木) 18:39:23.17

>>1
ニトリって中国企業だっけ？

**名刺は切らしておりまして** · 2022/09/22(木) 18:43:45.09

>>27
まあそれはおっしゃるとおりです
同一IPの試行制限くらいはしておくべきだけど、まあやった上で裏をかかれた可能性もある
どちらにしてもニュースの文面記事から一般が受ける印象とはかなり違う

**名刺は切らしておりまして** · 2022/09/22(木) 21:43:46.33

(´・ω・｀)ニトリにアカウント持ってたか思い出せない。

**名刺は切らしておりまして** · 2022/09/22(木) 22:37:34.69

>>40
流出したら変なメールが届くようになる

**名刺は切らしておりまして** · 2022/09/23(金) 01:03:55.15

中国が欲しい情報なのだそうだ

**名刺は切らしておりまして** · 2022/09/23(金) 07:19:56.45

>>41
(´・ω・｀)1年くらいまえからきてる。。

**名刺は切らしておりまして** · 2022/09/25(日) 15:16:32.39

多要素認証実装してないのかね。

**名刺は切らしておりまして** · 2022/09/25(日) 15:18:47.19

そらそうなるよ、補償とかするの

**名刺は切らしておりまして** · 2022/09/25(日) 17:12:13.01

こういうとこなんだよな、アマゾン以外使いたくないのは

**名刺は切らしておりまして** · 2022/09/25(日) 18:32:03.26

アクセス異常ニトリ。

**名刺は切らしておりまして** · 2022/11/06(日) 18:25:26.47

壊れやすいゴミ入りませーん

2022/11/27(日) 14:13:32.17

マジかよ

2022/11/27(日) 14:49:24.92

ニトリからも「アカウントを停止しました」のメールが毎日来るのか。。。
毎日ログインして苦情メールするの面倒だお。。。ｌω`))))

2022/11/27(日) 15:31:05.59

中国人マッサ

2022/11/27(日) 16:48:36.70

こういうのあるから3流企業のアカウント作るのイヤなんだよな

**名刺は切らしておりまして** · 2023/01/02(月) 15:26:43.76

怖いなぁ

**名刺は切らしておりまして** · 2023/01/02(月) 15:42:28.60

こういうの見るとパスワードだけじゃなくてIDも使い回しちゃ行けないような気がする。IDにメアドとかもっての他

**名刺は切らしておりまして** · 2023/01/02(月) 18:44:00.65

流出したところで使い道あるん？

2023/01/05(木) 06:25:53.52

あるからこういうのが多発するのではなかろうか。

2023/01/05(木) 06:45:56.50

>>39
自分の管理サーバで一回食らったけど100個以上のIP使ってたね
地域もバラバラ
一つのIPが一時間以上開くから発覚まで時間がかかった

2023/01/05(木) 17:28:02.60

>>22
2要素やってりゃ防げた。

2023/01/06(金) 00:57:38.99

ニトリって確かお漏らし２回目だろ？
前にやられてたからと思ってその後登録して無いんだよなぁ

2023/01/06(金) 00:58:07.72

ニトリって確かお漏らし２回目だろ？
前にやられてたからと思ってその後登録して無いんだよなぁ

2023/01/07(土) 03:45:35.58

だからリスト型攻撃は、一般が想像する漏洩とは違うんだって

**名刺は切らしておりまして** · 2023/01/28(土) 18:43:17.18

買うとき会員登録しないで買ってる

**名刺は切らしておりまして** · 2023/02/12(日) 07:12:03.13

怖いねえ。

**名刺は切らしておりまして** · 2023/02/12(日) 14:38:01.45

あーあ強盗捗っちゃった
ちゃんとセキュリティ対策してたのか？

**名刺は切らしておりまして** · 2023/02/16(木) 18:02:54.00

良かった、ニトリつかってない

**名刺は切らしておりまして** · 2023/02/16(木) 22:23:30.64

リスト型はユーザーの問題が大きいだろ

**名刺は切らしておりまして** · 2023/02/16(木) 22:29:27.88

多要素も異常な認証要求アタックという嫌がらせあるからな

**名刺は切らしておりまして** · 2023/02/17(金) 05:29:41.05

合鍵を渡してた元カレに鍵を横流しされて
泥棒に入られた責任が、ドア鍵屋さんがどの程度追うべきか？って感じか