駿河屋ECサイトで個人情報とクレジットカード情報が漏洩。不正アクセスによるシステム改ざんの実態とは? #エキスパートトピ
駿河屋は8月8日、同社ECサイト『駿河屋.JP(suruga-ya.jp)』において第三者による不正アクセスによりシステムが改ざんされ、顧客の個人情報ならびにクレジットカード情報の漏洩があったと発表しました。
漏洩した可能性のある個人情報は氏名、住所、郵便番号、電話番号、メールアドレス、領収書の宛名、但し書き。そしてクレジットカード情報はカード番号、セキュリティーコード、有効期限、カード名義、カードブランドです。
これを受け、『駿河屋.JP』ではクレジットカード決済の利用が一時停止されています。
ココがポイント
駿河屋更新情報【公式】@surugaya_kosin
ECサイトのシステムの一部が第三者によって不正に改ざんされ(中略)お客様が決済時にご入力された情報が外部に流出する状態
出典:駿河屋 2025/8/8(金)
ECサイトのほとんどはクレジットカード情報を保持せず、自社のサーバーも通さずに、決済代行事業者に直接送信
出典:UNITIS 2024/7/29(月)
ユーザが情報を入力するウェブブラウザの画面上に(中略)仕掛けられ、入力情報が攻撃者のサーバに送信されていた可能性
出典:ビジネスジャーナル/Business Journal | ポジティブ視点の考察で企業活動を応援 企業とともに歩む「共創型メディア」 2024/10/4(金)
エキスパートの補足・見解
相次ぐ不正アクセス被害の発生から、多くの企業はパスワードを平文で保存したり、内部にセキュリティコードを保存しないようになりました(ガイドラインにより禁止されている)。
しかし、決済システムが改ざんされた場合、自社でクレジットカード情報を保存しないシステムにしたとしても、ユーザーが手入力した情報がそのまま盗まれてしまいます。
セキュリティコードまで盗まれる事例の多くは、こうした決済システムの改ざんが原因です。改ざんの方法によって盗みの手口は異なりますが、共通して言えるのは入力時点で情報を盗もうとしていることです。これはユーザー側で防ぐことはできません。
駿河屋の発表によると、7月23日に不正アクセスを検知し、8月4日にシステムの改ざんの確認・修正をしたとのことですから、この期間の前後に『駿河屋.JP』を利用した方はクレジットカードの利用明細を確認することをおすすめします(本来であれば漏洩対象の利用期間を書いておくべきなのですが、まだ駿河屋自体も把握できていない可能性が考えられます)。
