新型リスト型攻撃。二重登録防止機能を使って、リストを限定してログインしたら、パスワードを共通のを使っていたって話。

手口は「リスト攻撃（リスト型アカウントハッキング）」の一種だ。リスト攻撃とは、サイバー攻撃や闇取引など何らかの手段で入手した、攻撃対象のWebサイトのユーザーIDとパスワードの一覧（リスト、パスワードリストとも）を使って、機械的にログイン試行を繰り返し、不正ログインを試みるものだ。ログインできたら個人情報を盗んだり、ポイントを金品に換えたりする。
　今回、ディノス・セシールを襲ったのは、より巧妙さを増した「新型リスト攻撃」と言えるものだった。結果的に不正ログインが成功したのは490人にとどまったものの、セキュリティ関係者には波紋が広がっている。
　「このタイプのリスト攻撃の可能性は指摘されていたが、公になった事象は珍しい。今後脅威が増す可能性が高く、Webサイト管理者は注意が必要だ」。セキュリティコンサルティングを手がけるS＆Jの三輪信雄社長はこう注意喚起する。

対岸の火事ではない、ディノス・セシールを襲った新型リスト攻撃 | 日経 xTECH（クロステック）

同社のWebサイトでは、新規顧客登録時のメールアドレスが既存顧客のものと重複すると登録できない。これは他社のWebサイトでもよくある二重登録防止機能だ。
　この機能が作用して、攻撃者は3533人の新規顧客登録ができなかった。つまりこの時点で、攻撃者は16万5038人分の不特定多数の人が含まれるリストから、3533人分の既存顧客のリストを抽出したことになる。
　次に攻撃者はこの3533人を対象としたリスト攻撃を仕掛けた。ディノス・セシールがアクセス遮断したため、1938人分しかログイン試行ができなかったが、そのうち490人分が攻撃者の手元にあるリストのパスワードをディノス・セシールでも使い回していたと見られ、不正ログインに成功した。

対岸の火事ではない、ディノス・セシールを襲った新型リスト攻撃（2ページ目） | 日経 xTECH（クロステック）