2025年8月8日、通信販売サイト「駿河屋.JP(suruga-ya.jp)」を運営する駿河屋は、第三者による不正アクセスにより顧客のクレジットカード情報を含む個人情報が漏えいしたと発表しました。影響拡大を防ぐため、同日よりクレジットカード決済を一時停止しています。
発生の経緯
同社は2025年7月23日に不正アクセスを検知し、調査とモニタリングを開始。8月4日にECサイトの一部システムが改ざんされていることが判明し、顧客が決済時に入力した情報が外部流出可能な状態だったことを確認しました。
改ざん箇所は同日中に修正し、サイト利用は継続可能となったものの、外部流出の可能性を受け、8月8日にカード決済を停止しました。
流出した可能性がある情報
-
個人情報:氏名、住所、郵便番号、電話番号、メールアドレス、領収書の宛名・但し書き
-
クレジットカード情報:カード番号、セキュリティコード、有効期限、名義、ブランド
対応状況
-
個人情報保護委員会への報告および静岡中央警察署への相談を実施
-
外部専門機関によるフォレンジック調査を開始
-
カード決済以外の支払い方法(PayPay、d払い、代金引換、銀行振込など)を案内
顧客への呼びかけ
駿河屋は、身に覚えのない請求がないか利用明細の確認を呼びかけ、不正利用があった場合はカード会社への速やかな連絡を依頼しています。
カード会社からの補償により、通常は不正利用分は取り消し可能としています。
フィッシングメールに注意
今回実際に漏洩の可能性の段階ですが、漏えい対象者の方はボイスフィッシング(ビッシング)による詐欺やフィッシングメールに注意する必要があります。
まとめ
今回の事案は、サイト改ざんによって決済入力情報がリアルタイムで窃取された可能性が高く、典型的なフォームジャッキング攻撃のパターンに近いと考えられます。
この攻撃は決済フォームや決済システムの脆弱性を悪用しフォーム送信が発生した際に指定のURLへ個人情報を転送する為、自社でクレジットカード情報を保存していなくても、顧客のクレジットカード情報が漏洩してしまいます。
また、実際の検知は2025年7月23日とのことですが、不正アクセスを検知できなかった場合も考慮すると数年単位のログを確認する必要もあり場合によっては影響範囲が広がる可能性もあります。








