ECサイト「駿河屋.JP」において、第三者による不正アクセスにより、クレジットカード情報を含む個人情報が漏えいした可能性があることが公表されました。
今回の事案で特に注目すべきなのは、単なる会員データベースの流出ではなく、決済ページに関わるJavaScriptが改ざんされ、利用者が入力したカード情報などが外部へ送信される状態になっていた点です。
ECサイトでは、クレジットカード情報を自社で保持していない場合でも、決済画面や入力フォームが改ざんされることで、入力中の情報が窃取されるリスクがあります。
本記事では、駿河屋.JPの公表情報をもとに、今回の事案の概要、利用者が確認すべきこと、EC事業者が見直すべきセキュリティ対策について整理します。
駿河屋.JPで何が起きたのか
駿河屋の公表によると、同社が運営するECサイト「駿河屋.JP」において、第三者による不正アクセスが発生し、決済ページ用のJavaScriptが改ざんされていたとされています。
その結果、対象期間中に駿河屋.JPでクレジットカード決済を行った利用者について、カード情報および個人情報が漏えいした可能性があると公表されています。
公表情報では、漏えい対象期間は2025年7月23日12時50分から2025年8月8日までとされています。
漏えいした可能性がある情報には、以下が含まれます。
- クレジットカード名義人名
- クレジットカード番号
- 有効期限
- セキュリティコード
- カードブランド
- 氏名
- 住所
- 郵便番号
- 電話番号
- メールアドレス
- 領収書の宛名、但し書き
フォレンジック調査後の公表では、漏えいの疑いがある対象件数はクレジットカード30,431件、それに付随する顧客情報29,932名とされています。
また、駿河屋は影響拡大を防ぐため、2025年8月8日からクレジットカード決済を停止したと説明しています。
今回のポイントは「決済ページの改ざん」
今回の事案で重要なのは、クレジットカード情報を保存していたデータベースから情報が抜き取られた、という単純な構図ではない点です。
駿河屋のFAQでは、同社はクレジットカード情報を保持しておらず、カード入力画面から決済代行会社へ送信する仕様だったと説明されています。
それにもかかわらず情報漏えいが発生した可能性があるのは、カード情報入力画面が改ざんされ、入力された情報が外部へ流出するような状態になっていたためです。
つまり、ECサイトでは「カード情報を保存していないから安全」とは言い切れません。
決済画面そのものが改ざんされれば、利用者が入力した瞬間に情報を抜き取られる可能性があります。
これは、EC事業者にとって非常に重要な示唆です。
利用者が確認すべきこと
駿河屋.JPを利用した可能性がある方は、まず自分が対象期間中にクレジットカード決済を行っていないか確認することが重要です。
特に確認したいのは、以下の点です。
1. クレジットカードの利用明細を確認する
対象期間中に駿河屋.JPでカード決済を行った可能性がある場合は、クレジットカードの利用明細に身に覚えのない請求がないか確認しましょう。
不審な請求がある場合は、カード裏面に記載されているカード会社へ速やかに連絡することが重要です。
2. カード再発行の要否をカード会社に相談する
不正利用が確認されていない場合でも、対象期間中にカード情報を入力していた場合は、カード会社へ相談することで、利用停止や再発行の判断がしやすくなります。
セキュリティコードまで漏えいした可能性がある事案では、カード番号だけの漏えいよりも慎重な対応が必要です。
3. 駿河屋.JPのパスワードを変更する
今回の主な論点は決済ページの改ざんですが、駿河屋はアカウント保護のため、パスワード変更および2段階認証の有効化を案内しています。
同じパスワードを他サービスでも使い回している場合は、他サービス側のパスワードも変更しておくべきです。
4. 不審なメールやSMSに注意する
個人情報が漏えいした可能性がある場合、その情報を悪用したフィッシングメールやSMSが届くリスクもあります。
「カード再登録が必要」「本人確認が必要」「返金手続きが必要」といった名目で偽サイトへ誘導される可能性があるため、メールやSMS内のリンクからログインするのは避け、公式サイトや公式アプリから確認するようにしましょう。
EC事業者が確認すべきポイント
今回の事案は、特定のECサイトだけの問題ではありません。
クレジットカード決済、会員ログイン、注文フォーム、マイページを持つEC事業者であれば、同様のリスクを自社に置き換えて確認する必要があります。
1. 決済ページの改ざんを検知できるか
ECサイトでは、決済画面や入力フォームの改ざんを早期に検知できる仕組みが重要です。
たとえば、決済ページで読み込まれるJavaScriptや外部スクリプトに不審な変更がないか、定期的に監視する必要があります。
特に、クレジットカード番号、セキュリティコード、氏名、住所、電話番号、メールアドレスなどを入力する画面では、改ざん検知の優先度を高く設定すべきです。
2. 管理画面・監視ツールの脆弱性管理ができているか
今回の公表では、監視ツールの脆弱性を突いた不正アクセスが原因として説明されています。
ECサイト本体だけでなく、監視ツール、管理ツール、CMS、プラグイン、サーバ管理画面など、周辺システムの脆弱性管理も重要です。
「表側のECサイトは更新しているが、裏側の管理ツールや監視ツールの更新が遅れている」という状態は、不正アクセスの入口になり得ます。
3. クレジットカード情報を保持しない設計でも油断しない
クレジットカード情報を自社で保持しない設計は重要ですが、それだけで十分ではありません。
カード情報を保存していなくても、入力画面が改ざんされれば、利用者が入力した情報が外部に送信される可能性があります。
そのため、EC事業者は「保存データの保護」だけでなく、「入力画面の保護」「送信経路の保護」「スクリプト改ざんの検知」まで含めて対策を考える必要があります。
4. 不正アクセス発生時の初動対応を決めているか
インシデントが発生した場合、重要なのは早期検知だけではありません。
検知後に、どの範囲を止めるのか、誰に報告するのか、利用者へどのように通知するのか、決済代行会社やカード会社とどう連携するのかを事前に整理しておく必要があります。
ECサイトの場合、クレジットカード決済を停止すると売上への影響は大きくなります。
しかし、影響拡大を防ぐためには、決済停止を含めた判断が必要になる場合があります。
事前に判断基準を持っていないと、対応が遅れ、結果的に被害範囲が広がる可能性があります。
5. 利用者向けの案内をわかりやすく出せるか
情報漏えい事案では、利用者が何をすればよいのかを明確に伝えることが重要です。
確認すべき期間、対象となる利用者、漏えいした可能性がある情報、カード会社への連絡方法、パスワード変更の要否、不審メールへの注意喚起などを整理して出す必要があります。
技術的な説明だけでなく、利用者が具体的に行動できる案内が求められます。
モバイル不正対策ラボの見解
今回の事案は、ECサイトの決済ページ改ざんという文脈で見るべき事案です。
同時に、モバイルアプリや会員サービスを運営する企業にとっても、重要な示唆があります。
多くの企業は、認証や決済の安全性を「ID・パスワード」「SMS認証」「決済代行会社の利用」「カード情報を保持しない設計」といった単位で考えがちです。
しかし、攻撃者は必ずしもデータベースだけを狙うわけではありません。
入力画面、決済ページ、外部スクリプト、管理ツール、監視ツール、API、アプリ実行環境など、利用者とシステムの接点となる場所を狙ってきます。
特にスマートフォン経由でECサイトや会員サービスを利用するケースでは、利用者は画面上で正規サイトかどうかを細かく確認しにくくなります。
正規のECサイト上で決済画面が改ざんされていた場合、利用者側だけで異常に気づくのは困難です。
そのため、事業者側には、以下のような多層的な対策が求められます。
- 決済ページの改ざん検知
- 管理画面や監視ツールの脆弱性管理
- 重要操作時の追加認証
- 不審なログインや決済操作の検知
- アカウント乗っ取り対策
- フィッシング後の不正利用対策
- インシデント発生時の初動対応手順
- 利用者への迅速で具体的な通知
ECサイトや会員サービスでは、認証、決済、端末、アプリ、運用を分けて考えるのではなく、利用者の行動全体を守る視点が必要です。
今回の事案から学べること
今回の事案から学べることは、「カード情報を保存していないから安全」とは言い切れないという点です。
ECサイトや会員サービスでは、利用者が情報を入力する画面そのものが攻撃対象になります。
特にクレジットカード決済、住所変更、メールアドレス変更、パスワード変更、本人確認、ポイント交換、送金、出金などの重要操作では、入力画面や処理フローの改ざんを前提にした対策が必要です。
また、インシデント発生後には、技術調査、決済停止、関係機関への報告、対象者への通知、不正利用監視、再発防止策の実施など、複数の対応が同時に求められます。
平時から「どのログを見るのか」「誰が判断するのか」「どの条件で決済を止めるのか」「利用者に何を伝えるのか」を整理しておくことが、被害拡大を防ぐうえで重要です。
まとめ
駿河屋.JPの不正アクセス事案では、決済ページ用JavaScriptの改ざんにより、クレジットカード情報を含む個人情報が漏えいした可能性があると公表されています。
今回の事案は、ECサイトや会員サービスを運営する企業にとって、決済ページ改ざん、入力フォーム保護、脆弱性管理、インシデント初動対応を見直すきっかけになります。
利用者側では、対象期間中の利用有無を確認し、カード明細の確認、不審請求があった場合のカード会社への連絡、パスワード変更、2段階認証の有効化、不審メールへの注意が重要です。
事業者側では、決済ページや入力フォームの改ざん検知、管理ツールの脆弱性管理、重要操作の監視、インシデント対応手順の整備が求められます。
ECサイトのセキュリティ対策は、サーバやデータベースを守るだけでは不十分です。
利用者が情報を入力する瞬間をどう守るか。
今回の事案は、その重要性を改めて示したものだといえます。
関連記事
- クレジットカード不正利用はなぜ起きる?EC事業者が確認すべき対策
- 不正アクセスによる個人情報漏えいリスクと利用者対応
- アカウント乗っ取りとは?不正ログインとの違いと企業が確認すべき対策
- MFAとは?多要素認証の基本とSMS認証だけに頼るリスク
- アプリ改ざんとは?モバイルアプリで注意すべきリスク
参考情報
- 駿河屋公式発表:第三者不正アクセスによる個人情報漏えいとクレジットカード決済停止に関するお詫びとお知らせ
- 駿河屋公式発表:第三者不正アクセスに関するフォレンジック調査完了および判明事項についてのお知らせ
- 駿河屋公式FAQ:第三者不正アクセスによる個人情報漏えいに関するよくあるお問い合わせ