・駿河屋ECサイトで不正アクセスによる個人情報漏洩が発生
・Webスキミングとは
駿河屋ECサイトで不正アクセスによる個人情報漏洩が発生
2025年8月8日、フィギュアやゲームなどを扱うECサイト「駿河屋.JP」が第三者による不正アクセスを受け、顧客のクレジットカード情報を含む個人情報が漏洩した可能性があると発表しました。この事態を受け、同社は影響拡大防止のため、即日クレジットカード決済を一時停止しました。現在、被害の全容を把握するため調査を進めており、利用者に対して注意喚起を行っています。
駿河屋:第三者不正アクセスによる個人情報漏えいとクレジットカード決済停止に関するお詫びとお知らせ
不正アクセスの経緯
駿河屋によると、2025年7月23日に不正アクセスを検知し、同日より調査およびモニタリングを開始しました。その結果、8月4日にECサイトのシステムの一部が第三者によって改ざんされていることが判明。改ざんされたシステムにより、ユーザーが決済時に入力した情報が外部に流出する状態となっていました。この問題は同日中に修正が完了し、現在はウェブサイトの利用に問題がないことを確認していますが、さらなる安全確保のため、クレジットカード決済は停止されています。
漏洩した可能性のある情報
漏洩した可能性のある情報は以下の通りです
- 個人情報:氏名、住所、郵便番号、電話番号、メールアドレス、領収書の宛名・但し書き
- クレジットカード情報:カード番号、セキュリティコード、有効期限、カード名義、カードブランド
特に、クレジットカードのセキュリティコードが漏洩した可能性がある点は深刻で、不正利用のリスクが高いと指摘されています。この点について、SNS上ではPCI DSS(クレジットカード業界のセキュリティ基準)に違反する可能性があるとして、駿河屋の管理体制に疑問を呈する声も上がっています。
不正アクセスの手口
今回の情報漏洩は、「調査の結果、この改ざんにより、お客様が決済時にご入力された情報が外部に流出する」と言う文面から決済ページが改ざんされ、ユーザーが入力した情報がリアルタイムで攻撃者に送信される「Webスキミング」と呼ばれる手法が原因と推測できます。この手法では、サーバーにクレジットカード情報を保存していなくても、入力された情報を直接盗み取ることが可能です。改ざんされたJavaScriptファイルが決済ページに埋め込まれ、情報を外部に送信する関数が仕込まれていた可能性が考えられます。
駿河屋の対応
駿河屋は以下の対応を進めています
- 関係機関への報告:個人情報保護委員会への報告および静岡中央警察署への相談を完了。
- クレジットカード決済の停止:2025年8月8日より、さらなる被害防止のためクレジットカード決済を一時停止。
- 第三者機関による調査:外部の専門調査機関によるフォレンジック調査を実施し、不正アクセスの手口や影響範囲の特定を進めています。
- 専用窓口の設置:現在、専用問い合わせ窓口(メール:info2025@suruga-ya.co.jp)を設置済みで、電話窓口も準備中です。
利用者へのお願いと推奨される対応
駿河屋は、利用者に対して以下の対応を呼びかけています
- クレジットカード明細の確認:身に覚えのない請求がないか、過去の明細を含めて確認してください。不審な請求がある場合は、カード裏面に記載のクレジットカード会社に直接問い合わせることを推奨しています。なお、不正利用分の請求は通常、カード会社の補償により取り消し可能です。
- カードの利用停止や再発行:特に7月23日以降に駿河屋.JPでクレジットカードを利用した方は、カード会社に連絡し、利用停止や再発行の手続きを検討してください。
- パスワードの変更:漏洩した可能性のある個人情報を悪用されるリスクを軽減するため、関連するアカウントのパスワード変更を検討してください。
今後の展望と再発防止策
駿河屋は、調査機関の報告を基に、システムのセキュリティ対策および監視体制を強化し、再発防止に取り組むとしています。新たな事実が判明次第、公式ウェブサイトで速やかに報告し、影響を受けた顧客には個別に案内を行う予定です。利用者は定期的に公式サイトや公式SNSを確認し、最新情報を把握することが推奨されます。
まとめ
駿河屋.JPでの不正アクセスによる個人情報漏洩は、Webスキミングによる決済ページの改ざんが原因と見られ、クレジットカードのセキュリティコードを含む重大な情報が流出した可能性があります。利用者は直ちにクレジットカード明細を確認し、必要に応じてカード会社への連絡やパスワード変更を行うことが重要です。駿河屋は現在、調査と再発防止策を進めていますが、顧客の信頼回復に向けたさらなる努力が求められる状況です。
Webスキミングとは
Webスキミングは、サイバー犯罪者がECサイトやオンラインフォームなどのウェブページに悪意のあるコードを埋め込み、ユーザーが入力した情報をリアルタイムで盗み取る攻撃手法です。特に、クレジットカード情報や個人情報を標的とし、被害者が気づかないうちにデータが流出する点で悪質です。この手法は、物理的なカードスキミング(ATMやPOS端末での不正読み取り)に似ていることから「Webスキミング」と呼ばれます。
Webスキミングの仕組み
Webスキミングの主な手口は以下の通りです
- 悪意のあるJavaScriptの埋め込み:攻撃者はウェブサイトの脆弱性(例:古いプラグインや弱いパスワード)を悪用し、決済ページやフォームに悪意のあるJavaScriptコードを挿入します。このコードは、ユーザーが入力した情報を外部のサーバーに送信するよう設計されています。
- サードパーティスクリプトの悪用:ECサイトで利用される外部スクリプト(例:広告や分析ツール)が改ざんされ、攻撃者が間接的にコードを注入する場合もあります。
- サーバーへの直接侵入:攻撃者がウェブサーバーに侵入し、サイトのコードを改ざん。ユーザーが正規のページを利用しているつもりでも、入力データが盗まれます。
これらの手法により、クレジットカード番号、セキュリティコード、氏名、住所などの情報が攻撃者に送信され、ユーザーは気づかないまま被害に遭います。サーバーに情報が保存されていなくても、入力と同時にデータが盗まれるため、従来のセキュリティ対策では検知が難しい場合があります。
Webスキミングの特徴
- リアルタイム性:ユーザーが情報を入力する瞬間にデータが盗まれるため、即時性が高い。
- 隠蔽性:改ざんされたコードはユーザーインターフェースに影響を与えず、通常のページと見分けがつかない。
- ターゲットの広さ:大規模ECサイトから中小規模のウェブサイトまで、脆弱性があれば攻撃対象となり得る。
攻撃者が悪用する主な脆弱性
Webスキミングが発生する背景には、以下のようなウェブサイトの脆弱性が関係しています
- CMSの脆弱性:WordPressやMagentoなど、広く使われるCMSの古いバージョンや未修正のプラグインが攻撃の入り口となる。
- 弱い認証:管理者アカウントの弱いパスワードや二要素認証の未導入。
- サプライチェーン攻撃:外部のスクリプトプロバイダやサードパーティサービスが侵害され、間接的にサイトが改ざんされる。
- サーバー設定の不備:セキュリティパッチの未適用や、不要なポートの開放など。
Webスキミングの被害例
Webスキミングは世界的に増加しており、以下のような事例が報告されています
- 決済情報の窃取:クレジットカード情報が盗まれ、不正利用や闇市場での売買に悪用される。
- 個人情報の漏洩:氏名、住所、メールアドレスなどが盗まれ、フィッシングやなりすましに利用される。
- ブランドの信頼低下:被害を受けた企業は顧客の信頼を失い、売上や評判に影響を受ける。
Webスキミングの防止策
企業側がWebスキミングを防ぐための対策は以下の通りです
- 定期的な脆弱性スキャン:ウェブサイトやサーバーの脆弱性を定期的にチェックし、最新のセキュリティパッチを適用。
- コンテンツセキュリティポリシー(CSP)の導入:許可されていないスクリプトの実行を制限する設定を導入。
- サードパーティスクリプトの監視:外部スクリプトの整合性を確認するツール(例:Subresource Integrity)を活用。
- セキュリティ意識の向上:管理者向けに強力なパスワードや二要素認証を必須化し、フィッシング対策を徹底。
- WAF(ウェブアプリケーションファイアウォール)の利用:不正なトラフィックや改ざんを検知・ブロック。
ユーザー側でできる対策
利用者がWebスキミングの被害を最小限に抑える方法は以下の通りです
- 信頼できるサイトの利用:URLが「https://」で始まり、セキュリティ証明書が有効なサイトを利用。
- クレジットカード明細の確認:定期的に明細を確認し、不審な取引を即座に報告。
- 仮想カードやワンタイム決済の利用:一時的なカード番号や決済サービス(例:PayPal、Apple Pay)を活用。
- セキュリティソフトの導入:悪意のあるスクリプトを検知するアンチウイルスソフトやブラウザ拡張機能を使用。
まとめ
Webスキミングは、ウェブサイトの決済ページやフォームに悪意のあるコードを埋め込み、ユーザーの入力情報をリアルタイムで盗むサイバー攻撃です。その隠蔽性と即時性から、企業とユーザーの双方にとって深刻な脅威となります。企業は脆弱性管理やセキュリティ対策を強化し、ユーザーは信頼できるサイトの利用や定期的な明細確認を行うことでリスクを軽減できます。Webスキミングは技術の進化に伴い手口も巧妙化しているため、常に最新の情報を把握し、警戒を怠らないことが重要です。
