大手ファッションブランドのJ.Crewが、同社顧客のオンラインアカウントが「権限のない1つのグループ」によってアクセスされたと発表した。このアクセスは約1年前のことだが、今になってこの被害を公表した。
同社は米国時間3月3日にカリフォルニア州司法当局を通じて公表した書面で、ハッカーは2019年4月ごろに顧客のアカウントにアクセスしたと述べた。この書面によれば、ハッカーは顧客のオンラインアカウントからカード種別、カード番号の下4桁、有効期限、請求先住所などの情報を取得した。オンラインアカウントには顧客の注文番号、配送確認番号、配送状況も保存されていた。
同社の広報担当者は、ハッカーがクレデンシャルスタッフィング攻撃(パスワードリスト型攻撃)のテクニックを使ったことを認めた。これは、すでに流出しているユーザー名とパスワードを使って別のウェブサイトのアカウントにアクセスするテクニックだ。
広報担当者は、影響を受けた顧客は「少数」だと述べたが、正確な数には言及しなかった。カリフォルニア州で事業を運営している企業は、同州の500人以上の住民に関係するセキュリティの問題が発生したら司法当局に報告することが義務づけられている。当局に提出された書面には「複数の州」への通知と記載されており、カリフォルニア州在住以外の顧客にも影響が及んだことが示唆されている。
さらに重大な疑問は、なぜJ.Crewはこの問題を検知し当局と顧客に公表するまでに約1年を要したのかということだが、これについても明らかにされていない。
広報担当者は、「定期的なウェブのスキャン」で不正アクセスを検知し、顧客には「即座に通知した」と述べた。いつスキャンしたか、なぜアカウントの被害をもっと早く検知できなかったかは明らかにされていない。カリフォルニアと、J.Crewの本社があるニューヨーク、そのどちらの法律でも、企業が被害を公表する期限は具体的には定められていない。「適切なタイミングで、不合理な遅れなく」顧客に通知するというだけだ。
クレデンシャルスタッフィング攻撃によるセキュリティの被害を公表した企業としては、J.Crewが最新のケースだ。昨年はSpotify、メキシコ料理レストランのChipotle、Amazon傘下のドア用インターホンメーカーのRing、ゲームストリーミングサービスのTwitchが顧客からアカウント流出の訴えを受けた。
画像: Bloomberg / Getty Images
[原文へ]
(翻訳:Kaori Koyama)