2025年8月1日、佐川急便株式会社は、同社の会員向けオンラインサービス「スマートクラブ」において、第三者による不正ログインの可能性があるアクセスを検知したと発表した。被害は限定的で、システムや決済情報への影響はなかったものの、アカウント保護の観点から、利用者にパスワード変更などの対策を呼びかけている。

■ 何が起きたのか？

今回の事案は、**外部で流出した可能性のあるID・パスワードを用いた「リスト型攻撃」**であると見られている。スマートクラブに対し、不正ログインを試みるアクセスが検知され、以下の対応が実施された。

【2025年8月1日15時時点の対応状況】

• 不正アクセス元IPアドレスの特定・遮断済み
• 業務システムやサーバーへの侵入なし
• クレジットカード・銀行口座情報の漏えいなし
• 不正ログインの可能性がある利用者には個別連絡を実施中

■ 利用者への注意喚起

佐川急便は、スマートクラブ利用者に対し、以下のセキュリティ対策を推奨している：

• 他サイトと同一のID・パスワードを使用している場合は、至急変更すること
• ログイン履歴や心当たりのないメールの確認
• パスワードは8文字以上・英数字・記号を組み合わせるなど、安全性の高い設定を推奨

■ 背景と今回のポイント

スマートクラブは、再配達依頼や配達状況の確認などが可能な佐川急便の主要オンラインサービス。EC需要の拡大に伴い、宅配業界のアカウントは常に攻撃対象になっており、ログイン認証の強化が急務となっている。

中でも今回のような「リスト型攻撃」は、他サービスで流出した情報を悪用して別サイトにログインを試みる手法で、広範な被害を生む可能性がある。企業のセキュリティ対策だけでなく、利用者のパスワード管理意識も極めて重要である。

■ 情報システム部門への教訓と対策ポイント

本件は、以下のような技術的・運用的対応の重要性を浮き彫りにしている：

• 不正ログインのリアルタイム検知と自動IPブロック
• ログイン失敗回数・地理的異常アクセスの監視
• 2要素認証（2FA）の導入検討
• インシデント時の迅速な情報開示とユーザー通知体制の構築

引用元記事：https://rocket-boys.co.jp/security-measures-lab/sagawa-express-smart-club-unauthorized-access-id-password-reuse/