ファーストリテイリングと傘下のユニクロ、ジーユー（GU）は5月13日、ユニクロ・ジーユーの公式オンラインストアがリスト型アカウントハッキング攻撃を受け、約46万件のIDに不正ログインされたと発表した。不正ログインを受けたユーザーの氏名や住所、電話番号などの個人情報が第三者に閲覧された可能性があるという。対象のIDのパスワードを同日中に無効化し、ユーザーにパスワード変更を依頼している。

ニュースリリースより

不正ログインを受けたことを確認したアカウントは46万1091件。氏名や住所、電話番号、メールアドレス、性別、生年月日、購入履歴、クレジットカード番号の一部（上4ケタと下4ケタ）とカード名義人、有効期限などに加え、自身や家族の身体のヌードサイズを登録できる「マイサイズ」に登録した氏名・サイズが第三者に閲覧された可能性があるという。クレジットカードのセキュリティコードは保存していないため、漏えいの可能性はない。

顧客から「身に覚えのない登録情報変更の通知メールが届いた」という申し出を受けて調査を進めたところ、4月23日から5月10日にかけ、不正ログインが試行されたことを確認した。現在は、不正ログインが試行された通信元を特定してアクセスを遮断し、その他のアクセスの監視も強化したという。不正ログインされたIDは、13日にパスワードを無効化し、パスワードの再設定と登録内容確認を依頼するメールを個別に送信した。また、警視庁に通報したという。

リスト型攻撃は、他社で流出したID・パスワードのリストを使ってログインを試みる攻撃。同社は、他社サービスとは異なるパスワードを設定することや、第三者が容易に推測できるパスワードを使わないことなどをユーザーに呼び掛けている。また、同社が顧客に対して、メールや電話、SNSなどでパスワードやクレジットカード番号を聞くことはないとして注意喚起している。