ニトリは9月20日、同社スマートフォンアプリ「ニトリアプリ」にて、第三者によるなりすましログインが発生した可能性があると発表した。
ニトリネットのニトリアプリ認証プログラムに対し、第三者が、不正にニトリグループ以外のサービスから入手した大量のユーザーID(メールアドレス)とパスワード情報の組み合わせを使い、なりすましログインを行ったと思われる現象が発生している可能性を確認したという。同社は、同じIDやパスワードを使いまわしている利用者を狙った「リスト型アカウントハッキング(リスト型攻撃)」とみている。
不正ログインを受けた可能性のあるユーザーID数は約132,000アカウント。不正ログインの期間は、2022年9月15日~9月20日。第三者に閲覧された可能性のある情報は、メールアドレスやパスワードなどの下記項目。なお、クレジットカード決済に必要な情報はシステム上に保存していないため、不正ログインによりクレジットカード決済が実行されることはないとした。
- メールアドレス
- パスワード
- 会員番号
- ニトリメンバーズの保有ポイント数
- 氏名
- 電話番号
- 住所
- 生年月日
- 性別
- 建物種別(戸建、集合住宅)
- エレベーター有無
- 一部が目隠しされたクレジットカード番号
- 有効期限
情報が漏洩した可能性があるユーザーは、ニトリネットで会員登録したユーザー、ニトリアプリで会員登録したユーザー、シマホネットでニトリポイント利用手続きをしたユーザー、シマホアプリで会員登録したユーザー。
不正ログインされた可能性があるユーザーに対しては、ニトリ側で順次パスワードのリセットを実施し、ユーザーに告知。また、新規の不正ログインを防止するため、セキュリティ機器を強化し、別途の対策も検討しているという。