サンドラッグECサイトへの不正ログインでお詫びするべきはサンドラッグではなく利用者では？

根本的問題は利用者側にある

サンドラッグ、不正ログイン被害　約2万件の会員情報が流出か：リスト型攻撃 - ITmedia ビジネスオンライン

サンドラッグからのお知らせには、以下の様に記載されています。

今回の不正ログインの手法は、他社サービ スから流出した可能性のあるユーザ ID・パスワードを利用した「リスト型アカウントハッキング（リスト型攻 撃）」の手法で行われていると推測されます。

https://www.sundrug.co.jp/news/news_20220711_01.pdf

利用者がID・パスワードを使い回していなければ防げる漏洩

この推測が正しければ、サンドラッグの落ち度は小さく、不正アクセスした根本的な原因は、ID・パスワードを使い回した会員で、その次に問題になるのが、過去に情報流出させたサンドラッグではない他のウェブサイトです。

漏洩していない会員の存在するのはなぜ？

ID・パスワードを使い回していない会員は、他人に個人情報を参照されていないのも事実です。つまりは、一定の安全が担保されているのがサンドラッグECサイトであり、ID・パスワードを使い回していた会員側に落ち度があるのはこのことからも明白です。

サンドラッグから会員情報は流出したのか？

確かに、住所や電話番号がサンドラッグウェブサイトから攻撃者に対して伝わったという点では、情報流出といえるかもしれませんが、上記の通り、その原因を作ったID・パスワードがサンドラッグから漏れたわけではありません。正しくID・パスワードを入力した会員に対して、その会員の情報を公開するのは当然の仕組みであり、それを流出と表現するのは違和感を感じます。

サンドラッグが事前に実施できたかもしれない対策

もちろんサンドラッグが対策できなかったわけではありません。例えば、同一、IPアドレスからログインを試みる行為があった場合遮断したり、パスワードを一定回数間違えたらアカウントロックするような仕組み、ダークウェブに掲載されている過去に流出したID・パスワードで会員登録できないような仕組みを装備するということは考えられますし、ログインに多要素認証を仕組み利用していれば、防げる可能性はあります。
そういった対応するコストの問題やログイン方法を複雑にしないこと（ログイン方法が複雑だとECサイトは売上に影響する）を考慮すると、どこまで対策すれば良かったのか？判断が困難であり、会員登録を必要するすべてのウェブサイト共通の問題ではあります。

事業者側に責任をおしつけるのではなく利用者側でも対策する

くりかえしになりますが、今回の件は、会員にID・パスワードの使い回しが無ければ、情報流出が無かった可能性が高く、会員側（利用者）が自己防衛できたことです。
個人情報流出がイヤなら自己防衛をしっかりしましょう。