ニトリホールディングスは9月20日、スマートフォンアプリ「ニトリアプリ」への不正アクセスにより、一部会員の個人情報が流出した可能性があることがわかったと発表した。顧客や関係者への謝罪の意を表明するとともに、不正ログインされた可能性がある顧客のパスワードリセットの実施などを報告した。
ニトリホールディングスは、スマートフォンアプリ「ニトリアプリ」から、「ニトリネット」のニトリアプリ認証プログラムに対し、第三者が不正に入手した大量のユーザーIDとパスワードを用いてなりすましログインを行ったと思われる現象が発生していると発表した。
9月15日から発生した同現象により、一部会員の会員情報が漏洩した可能性が9月19日に判明したとしている。情報が漏洩した可能性があるのは、「ニトリネット」で会員登録した顧客、「ニトリアプリ」で会員登録した顧客に加え、「シマホネット」でニトリポイントの利用手続きをした顧客と、「シマホアプリ」で会員登録した顧客で、発表時点で判明している不正ログインを受けた可能性のあるユーザーID数は約13万2000アカウント。
第三者に閲覧された可能性のある情報は、メールアドレス、パスワード、会員番号、ニトリメンバーズの保有ポイント数に加え、氏名や住所などの個人情報。さらに一部が目隠しされたクレジットカード番号と有効期限が含まれるが、ニトリグループではクレジットカード決済に必要な情報は自社グループのシステム上に保持しておらず、今回の不正ログインによりクレジットカード決済が実行されることはないとしている。
ニトリホールディングスでは、今回の不正ログインは、自社以外のサービスから流出したユーザーID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測。不正ログインされた可能性がある顧客のアカウントに対し、順次パスワードのリセットを行っている。さらに新規の不正ログインを防止するため、セキュリティ機器の強化を実施するとともに、更なる効果策を検討している。
パスワードのリセットを実施した会員番号を所有する顧客へは、電子メールでの連絡を行い、次回のサービス利用時にパスワードの再設定を依頼している。パスワードの再設定時は、以前利用していたパスワードや、他のサービスなどで設定しているパスワードの利用は避けるよう呼びかけている。
ニトリホールディングスは、今回の事態を重く受け止め、より一層、厳重な情報セキュリティ体制の構築と強化を図り、安全性の確保に努めていくとし、迷惑や心配をかけたことを謝罪した。
