2025年8月8日、ホビー・フィギュア・ゲームなどを中心に扱うECサイト「駿河屋.JP」の運営元である駿河屋株式会社より、クレジットカード情報を含む個人情報が第三者によって漏洩した可能性が公式に発表されました。
駿河屋で発生したクレジットカード情報漏洩の経緯と概要
「駿河屋.JP」では以下のような順序で情報漏洩関連の事態が進行しました。
- 7月23日に不正アクセスを検知し、継続的なモニタリングと調査を開始。
- 8月4日にECサイトの一部が不正に改ざんされ、決済画面に入力された情報(氏名、住所、メールアドレス、クレジットカード番号、有効期限、セキュリティコード、カード名義、ブランドなど)が外部に送信されていた可能性が判明。
- 同日中に修正対応が完了。
- 8月8日からクレジットカード決済を一時停止。個人情報保護委員会や警察への報告、外部調査機関による詳細なフォレンジック調査を実施中。
ECサイトでの漏洩対象情報は以下の通りです。
| 区分 | 漏洩の可能性がある情報内容 |
|---|---|
| 個人情報 | 氏名、住所、郵便番号、電話番号、メールアドレス、領収書の宛名・但し書き |
| クレジットカード情報 | カード番号、有効期限、セキュリティコード、カード名義、カードブランド |
駿河屋:第三者不正アクセスによる個人情報漏えいとクレジットカード決済停止に関するお詫びとお知らせ
なぜ“セキュリティコードまで漏洩するのか?”
セキュリティコード(CVV・CVC)は、クレジットカードの裏面に印字された決済時の追加認証用コードです。通常は安全性を高める役割を果たしますが、以下のような攻撃手法により入力時に盗まれてしまう可能性があります。
- Webスキミング(Magecartなど)
決済ページに悪意あるJavaScriptが埋め込まれ、ユーザーが入力した情報が正規の送信先と並行して攻撃者側にも送信される手口です。 - 改ざんされた外部JavaScriptやライブラリの悪用
外部ライブラリの一部を書き換えて、すべての入力情報を取得・流出させる攻撃です。
過去に起きたECサイトでの情報漏洩事例
日本国内でも、複数のECサイトでセキュリティコードを含むクレジットカード情報が流出する事例が発生しています。特に「タリーズコーヒージャパン」などでは数万件規模の被害が報告されました。
- 長崎県物産販売サイト「e-ながさきどっとこむ」
Webスキミングによって約13,433件のメールアドレス、ログイン情報、カード番号、有効期限、セキュリティコードが流出。 - タリーズ オンラインストア
第三者による不正アクセスでペイメントアプリが改ざんされ、会員情報(約92,685件)およびクレジットカード情報(約52,958件)が漏洩した可能性が報告されました。 - 株式会社クレイツ(美容機器販売)
クレジットカード番号、有効期限、セキュリティコードなど計15,198名分の個人情報が漏洩。 - その他、家具・紳士服・テーマパークなど多業種が被害に
Webスキミングによる被害は業種を問わず発生しており、規模の大小に関わらず注意が必要です。
これらの事例からも、サイバー攻撃が広範に行われており「いつどこで被害に遭うか分からない」現実が浮き彫りになっています。
クレジットカードが不正利用された場合、補償はされるか?
多くのカード会社では、不正利用が第三者によるもので、本人に過失がない場合、補償が提供されるのが基本です。日本では以下のような補償制度が一般的です。
- 不正利用を届け出た日から遡って最大60日までの損害について補償。
- 補償対象外となる主なケース:
- カードに署名がない場合
- 被害届や調査への協力を拒否した場合
- 暗証番号を本人が漏らした場合
- 家族や同居人による使用が原因の場合
補償申請は早期対応が鍵です。遅れると補償対象外になるリスクが高まります。
不正利用されたらどうしたらいいのか
| 行動ステップ | 説明 |
|---|---|
| 1. 利用明細の確認 | 身に覚えのない請求がないか即座にチェック。スマホアプリやオンライン明細が便利。 |
| 2. カード会社への連絡 | 不正利用の届け出、カード停止・再発行依頼を行う。 |
| 3. 被害届・警察報告 | 不正の調査・記録として提出する。 |
| 4. 補償申請 | 60日以内に申請し、必要書類を提出する。署名や調査協力が重要。 |
| 5. 今後の決済対策 | 3Dセキュア対応や、PayPal・バーチャルカードなど安全な決済方法へ切替え。 |
消費者が日常的に実践できる予防策
- 利用明細や決済通知機能を活用し、早期に異常を発見。
- ナンバーレスカードやバーチャルカードを活用して流出リスクを低減。
- ECサイト利用時にはSSL対応や3Dセキュア対応を確認。
- パスワードの使い回しを避け、二段階認証を設定。
ECサイトにおけるクレジットカード情報漏洩は、近年も後を絶たない深刻な問題です。過去にも多くの事例が発生しており、その原因の多くはECサイトのシステム自体にあります。
ECサイトで発生した主なクレジットカード情報漏洩事例
近年発生したECサイトでの情報漏洩事例には、以下のようなものがあります。
- ペイメントアプリケーションの改ざん:ECサイトの決済システムに不正アクセスされ、悪意のあるプログラム(スクリプト)が埋め込まれます。これにより、ユーザーが入力したクレジットカード情報が、正規の決済会社だけでなく、攻撃者のサーバーにも同時に送信されてしまいます。この手口は「Webスキミング」とも呼ばれ、非常に多くの被害が発生しています。
- システムの脆弱性を悪用した不正アクセス:ECサイトの構築に使われているソフトウェアやシステムに脆弱性があったため、攻撃者から不正アクセスを受け、サーバー内のデータが盗まれるケースです。これには、古いバージョンのシステムを使い続けていたことや、セキュリティ設定が不十分だったことなどが原因として挙げられます。
- バックドアの設置:不正アクセスによってサイトに裏口(バックドア)が設置され、その後長期間にわたって情報が盗み続けられる事例もあります。発覚が遅れると、被害が拡大しやすいのが特徴です。
狙われやすいECサイトとは?
これらの情報漏洩の多くは、ECサイトを運営している事業者のサイトやシステム内で発生しています。
特に、クレジットカード情報を「非保持化」していないECサイトが狙われやすい傾向にあります。「非保持化」とは、ECサイトのサーバーでクレジットカード情報を保存したり処理したりしないようにする対策のことです。
非保持化が徹底されていないECサイトでは、攻撃者がサイトに侵入することで、顧客のカード情報が盗み取られてしまうリスクが高まります。
また、ECサイト運営者がクレジットカード情報を直接保持していなくても、決済画面が改ざんされることで情報が盗み取られるケースも増えています。
ECサイト運営側には、クレジットカード・セキュリティガイドラインに沿った対策を徹底することが求められています。具体的には、PCI DSS(国際的なカード情報保護の基準)への準拠や、EMV 3-Dセキュアの導入などが有効な対策とされています。
まとめ:賢く守る消費者の心得
今回の駿河屋におけるクレジットカード情報漏洩は、ECサイトを利用するすべての消費者にとって他人事ではありません。特に、セキュリティコードを含むカード情報が流出する可能性があるケースは深刻であり、攻撃の手口や原因を正しく理解することが、今後の安全対策につながります。また、クレジットカード会社には不正利用時の補償制度がありますが、その適用には「期限内の申請」「署名済みカード」「本人に過失がない」などの条件を満たす必要があり、早期対応が不可欠です。
さらに、日常的な利用明細の確認や、安全な決済方法の選択、二段階認証やバーチャルカードの活用といった予防行動は、被害を未然に防ぐ有効な手段となります。今回の件をきっかけに、自分のカード情報や決済環境を見直し、より安全なオンラインショッピング環境を整えることが、私たち消費者に求められる重要な姿勢です。
