ギフティでリスト型攻撃!不正ログイン337件、一部不正決済被害も



画像:株式会社ギフティより引用

株式会社ギフティは2020年8月28日、同社が運営する個人向けのインターネットギフトサービス「giftee(ギフティー)」の顧客アカウントに対するサイバー攻撃が確認されたと明らかにしました。

ギフティによると、同社サービス利用者から「身に覚えのない決済が確認された」と通知があり調査を開始。その結果、2020年8月19日~2020年8月24日にかけて、同社顧客アカウントを狙った「リスト型攻撃」が確認されました。

同社によると不正ログイン被害を受けたアカウントは合計337件です。また、このうち29件のアカウントについては登録情報の改ざんされ、不正決済などの金銭的被害が生じていると明らかにしました。

流用を避けるよう呼びかけ

ギフティは事案発生後、被害が生じたアカウントを無効化し、被害顧客に事情の説明と再登録を促すメールを発信。また、再発防止に向けて不正ログインを防ぐためのセキュリティ強化施策を実施するなどしています。

ただし、リスト型攻撃は、セキュリティの脆弱なサイトから盗み出した「パスワードとIDの組み合わせ」を利用し、別のサービスに不正ログインを仕掛けるタイプの攻撃です。根本的な原因は「複数にまたがりパスワードを流用すること」にあるため、同社は各利用者にパスワードを使いまわさないよう呼びかけています。

なお、今回の不正ログインにより生じた被害は次の通りです。

対象となるユーザー 対象件数 対象の情報内訳
「giftee」に会員登録したユーザー 337件(29名は不正購入被害) メールアドレス、性別、生年月日、購入履歴等(カード情報を登録したユーザーはカード番号下4桁および有効期限)

参照弊社個人向けカジュアルギフトサービス「giftee」への不正アクセスの発生とパスワード変更のお願いについて/株式会社ギフティ