2025年6月15日深夜、人気ファッション通販サイト「PAL CLOSET(パルクローゼット)」を運営する株式会社パルで不正アクセスが発生しました。幸い、クレジットカード情報などの重要な個人情報の漏洩は確認されていませんが、多くのユーザーに一斉にログイン通知メールが届く事態となりました。
今回の不正アクセスの詳細
事件は6月15日深夜1時頃から発生し、複数の利用者に「ログイン通知メール」が一斉に送信されたことで発覚しました。ユーザーからの問い合わせが相次いだため、同社は迅速に対応に乗り出しました。
株式会社パルの発表によると、パスワードはハッシュ化(復元できない形式)されており、社内システムからの流出は確認されていないとのことです。ただし、安全性を最優先に考え、すべてのパスワードを使用不可にして再設定を促す措置を取っています。
パスワードリスト型攻撃とは
今回の攻撃は「パスワードリスト型攻撃(Credential Stuffing)」と呼ばれる手法です。これは近年、あらゆる会員制サイトで深刻な問題となっている攻撃方法で、以下のような仕組みで行われます。
- 攻撃者が他のサービスから流出したID・パスワード情報を入手
- 自動化されたスクリプトを使って、数百〜数千件のアカウントに対して一斉にログインを試行
- パスワードを使い回しているユーザーのアカウントで不正ログインが成立
攻撃者は不正に入手したアカウント情報を別のサービスへの攻撃に利用したり、ダークウェブで販売したりする可能性があります。
個人でできる効果的なセキュリティ対策
1. パスワードの使い回しを避ける
最も重要なのは、サービスごとに異なるパスワードを設定することです。同じパスワードを複数のサービスで使用していると、一つのサービスから情報が漏洩した際に、他のサービスでも不正アクセスを受けるリスクが高まります。
2. 強固なパスワードの作成
パスワードは以下の条件を満たすものを作成しましょう:
- 12文字以上の長さ
- 大文字・小文字・数字・記号を組み合わせる
- 辞書に載っている単語を避ける
- 個人情報(生年月日、名前など)を使用しない
3. 二段階認証の設定
可能な限り二段階認証(2FA)を有効にしましょう。パスワードが漏洩しても、二段階認証があることで不正アクセスを防ぐことができます。
4. 定期的なセキュリティチェック
お使いのデバイスには必ず最新のアンチウイルスソフト
をインストールし、定期的にスキャンを実行することをお勧めします。マルウェアによってパスワードが盗まれるケースも多いため、しっかりとした対策が必要です。
また、公共のWi-Fiを利用する際は、通信を暗号化するVPN
の使用を強く推奨します。特にオンラインショッピングやログインが必要なサービスを利用する際は、通信の盗聴リスクを回避するために必須のツールです。
企業側の対策も重要
今回のPAL CLOSETの対応は迅速で適切でした。パスワードのハッシュ化、即座の対応、そして予防的なパスワードリセットは、セキュリティインシデント対応の模範例と言えるでしょう。
しかし、このような攻撃を完全に防ぐことは困難です。だからこそ、私たちユーザー一人ひとりが適切なセキュリティ対策を講じることが重要なのです。
まとめ
今回のPAL CLOSETの件は、パスワードリスト型攻撃の典型的な事例です。このような攻撃から身を守るためには、パスワードの使い回しを避け、強固なパスワードを設定し、セキュリティツールを適切に活用することが不可欠です。
オンラインショッピングを安全に楽しむためにも、今一度ご自身のセキュリティ対策を見直してみてはいかがでしょうか。
