Retail chain Hot Topic discloses wave of credential-stuffing attacks
2023/08/01 BleepingComputer — 米国のアパレル販売店である Hot Topic は、2023年2月7日〜6月21日にかけて複数のサイバー攻撃を受け、機密情報の漏洩が報じたと顧客に通知している。SimilarWeb のデータによると、Hot Topic は、カウンター・カルチャーの衣料品/アクセサリー/ライセンス音楽などを扱う小売チェーンであり、全米に 675店舗を展開している。
同社は 8月1日に発表したデータ漏洩の通知で、盗み出されたアカウント認証情報を悪用するハッカーが、Hot Topic Rewards プラットフォームに複数回アクセスし、顧客データを盗んだ可能性があると説明している。
Hot Topic の通知には、「ある Hot Topic Rewards アカウントに、不審なログインが確認された。調査の結果、権限のない第三者が、未知の第三者から入手した有効なアカウント認証情報を悪用して、2023年2月7日/3月11日/5月19日~21日/5月27日~28日/6月18日~21日に、当社の Web サイトとモバイル・アプリに対して、自動化された攻撃を行っていたことが判明した」と記されている。
Hot Topic の調査により、同社が認証情報の送信元ではないと判断されたが、送信元を見つけることもできなかったという。
同社は攻撃後に実施されたセキュリティ対策の一環として、「Web サイトとモバイル・アプリをクレデンシャル・スタッフィング攻撃から保護するための具体的な手順」を公開した。
”クレデンシャル・スタッフィング” とは、サイバー攻撃の一種であり、ユーザーが複数のオンライン・サービスで同じ認証情報を使用することで発生するものだ。つまり、情報漏えいやデータ侵害などで、認証情報の窃取に成功した脅威アクターは、様々なオンラインサービスで盗んだユーザー名とパスワードのペアをテストして、不正ログインを試みることになる。
Hot Topic は、不正ログインと正当なログインの区別がつかないため、サイバー攻撃でアカウントにアクセスされた、すべての顧客に通知を行ったとしている。
脅威アクターにさらされた可能性のある情報は以下の通りだ:
- 氏名
- Eメールアドレス
- 注文履歴
- 電話番号
- 生年月日
- 配送先住所
- 保存された決済カードの下4桁
Hot Topic は、上記の情報への悪意あるアクセスや流出は、現時点では確認されていないとしているが、慎重を期して、侵害された可能性のあるユーザーに通知を行っている。
また、同社は、影響を受けた顧客に対して、アカウント・パスワードの再設定方法を記載したメールを送信し、強固でユニークなパスワードを設定するよう通達している。
Hot Topic のユーザーである場合は、同じ認証情報を使用している可能性のある、他のプラットフォームでアカウント認証情報をリセットするのが賢明だろう。
大規模なクレデンシャル・スタッフィング攻撃が、Hot Topic で発生しているようです。ID/PW の使い回しは危険だと、よく言われていますが、どこかのサイトから盗み出された認証情報で、他のサイトが総当たり的に攻撃され、この Hot Topic のような事態に陥るわけです。同じ ID を繰り返して用いるブルートフォースとは異なり、この方式では、標的 IDは1回しか用いられないため、回数制限でプロテクトするという手法も通じません。よろしければ、Credential Stuffing で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.