「Oisix.com」に不正ログイン10万件 WAF導入も、パスワードリスト攻撃防げず

　オイシックス・ラ・大地は11月26日、食品宅配ECサービス「Oisix.com」がパスワードリスト型攻撃による不正ログインを受け、9万7533件の個人情報が閲覧された可能性があると発表した。同社は不正ログイン攻撃対策としてWAF（Web Application Firewall）を導入していたが、防げなかったという。

　クレジットカード番号は決済代行会社が保持しているため流出の可能性はない。

　第三者が外部から不正に取得したIDとパスワードを使い、ユーザーになりすましてログインする行為を11月24日に検知。24、25日にかけ、9万7533件のIDが不正ログインを受けたという。

　不正ログインで閲覧された可能性があるのは、ユーザーの氏名、住所、電話番号、メールアドレス、配送先の氏名、住所、電話番号、メールアドレス、予約・購入履歴。

　不正ログイン検知後、サーバ側で対策を講じたという。該当顧客のパスワードはリセットしており、再設定を案内している。