スマホアプリ「ニトリアプリ」に不正ログインが発生、一部ユーザーの個人情報が流出した可能性

ニトリホールディングスは9月20日に、同社が提供するスマートフォンアプリ「ニトリアプリ」から、「ニトリネット」のニトリアプリ認証プログラムに対して、第三者が不正に同社グループ以外のサービスから入手した大量のユーザーID(メールアドレス)とパスワードを用いて、なりすましログインを行ったと思われる現象が確認されたことを発表した。

同現象は9月15日から発生しており、これにより一部の会員の情報が漏えいした可能性があることが、9月19日に判明している。

情報が漏えいした可能性があるのは、

「ニトリネット」に会員登録したユーザー

「ニトリアプリ」に会員登録したユーザー

「シマホネット」においてニトリポイント利用手続きを行ったユーザー

「シマホネット」に会員登録したユーザー

で、約13万2000アカウントに不正ログインが行われたとみられる。

不正ログインによって、第三者に閲覧された可能性がある情報は、メールアドレス、パスワード、会員番号、ニトリメンバーズの保有ポイント数、氏名、電話番号、住所、生年月日、性別、建物種別(戸建、集合住宅)、エレベーター有無、一部が目隠しされたクレジットカード番号、有効期限。

今回の不正ログインには、同社以外のサービスから流出したユーザーIDとパスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」という手法が用いられたと考えられることから、不正ログインされた可能性のあるユーザーのアカウントに対して、順次パスワードのリセットを行っていく。

さらに、新たな不正ログインを防ぐために、セキュリティ機器を強化するとともに、さらなる強化策も検討しているという。

同社は、パスワードのリセットを行ったユーザーに対して、メールでの連絡を行っており、次回に同社のサービスを利用する際にはパスワードの再設定を求める。

なお、同社グループではクレジットカード決済に必要な情報をグループのシステム上に保持していないため、今回の不正ログインによってクレジットカード決済が実行されることはない、としている。