ボンフォームオンラインストア、サイバー攻撃でクレジットカード情報 3,268名分が漏洩のおそれ|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年05月01日更新日時: 2026年05月01日

2026年4月27日、カーマット・シートカバー等の車内インテリア用品を販売する株式会社ボンフォーム（岐阜県安八郡安八町）は、同社が運営する「ボンフォームオンラインストア」に対して第三者による不正アクセスが発生し、フォレンジック調査が完了したとして調査結果を公表しました。

クレジットカード情報が漏洩した可能性があるのは3,268名（3,463件）、ECサイトの認証情報（メールアドレス・パスワード・電話番号）が漏洩した可能性があるのは735名です。被害対象期間は2021年3月25日から2024年11月8日までの約3年7か月にわたります。

本件は決済ページのJavaScriptを不正に改ざんして入力情報を窃取するWebスキミング攻撃（別名：フォームジャッキング）の事案であり、フォレンジック調査完了後に詳細が明らかになりました。

この記事のサマリー

攻撃手法はWebスキミング（決済ページ用JavaScriptの改ざん）。クレジットカード情報の入力時に攻撃者のサーバーへリアルタイムで送信される典型的な手口です。
クレジットカード情報の漏洩可能性：3,268名（3,463件）。漏洩情報はカード名義人名・カード番号・有効期限・セキュリティコードを含むフルカード情報です。
ECサイト認証情報の漏洩可能性：735名。漏洩情報はメールアドレス・パスワード・電話番号です。
被害対象期間は2021年3月25日〜2024年11月8日の約3年7か月です。
クレジットカード情報を入力したものの購入に至らなかった顧客のカード情報も漏洩した可能性がありますが、対象カード番号の特定はできていません。
発覚は2026年1月14日のカード会社からの連絡。同月16日にサイトを停止・警察に被害申告し、フォレンジック調査完了（2月19日）を経て約3か月後の4月27日に公表しました。
対象者への**個別通知（書状）**は2026年4月27日より順次発送されています。
カード再発行の手数料についてはお客様負担なしとなるようカード会社と調整中です。

1 事案の経緯
2 漏洩情報の詳細
- - 2.0.1 クレジットカード情報（3,268名・3,463件）
  - 2.0.2 ECサイト認証情報（735名）
3 攻撃手法の詳細—Webスキミング（フォームジャッキング）とは
4 公表まで約3か月を要した経緯「不確定情報の公開はいたずらに混乱を招く」と判断
5 対象者がとるべき対応
- 5.1 参考情報

事案の経緯

日付	内容
2021年3月25日	不正アクセス（Webスキミング）開始とみられる時期
2024年11月8日	不正アクセスの終了とみられる時期（被害期間：約3年7か月）
2026年1月14日	クレジットカード会社から漏洩懸念の連絡を受領
2026年1月16日	「ボンフォームオンラインストア」の稼働を停止。所轄警察署への被害申告。第三者調査機関による調査を開始。第1報を公表
2026年1月19日	個人情報保護委員会への報告完了
2026年2月19日	調査機関によるフォレンジック調査完了
2026年4月27日	調査結果・漏洩の詳細・対応策を公表。対象者への書状による個別通知を開始

漏洩情報の詳細

クレジットカード情報（3,268名・3,463件）

項目	内容
対象者数	3,268名（3,463件）
対象期間	2021年3月25日〜2024年11月8日にクレジットカード決済をしたお客様
漏洩した可能性のある情報	カード名義人名・クレジットカード番号・有効期限・セキュリティコード

セキュリティコードが漏洩した可能性がある点は特に深刻です。セキュリティコードはPCI DSS（クレジットカード業界のセキュリティ基準）上、データベースへの保存が禁止されている情報であり、Webスキミングはこの入力タイミングを狙って窃取する点で、データベース窃取とは異なる特別な危険性があります。

また、クレジットカード情報を入力したものの購入に至らなかった顧客のカード情報も漏洩した可能性がありますが、対象カード番号の特定はできていないとされており、被害の実際の規模は公表件数を超える可能性があります。

ECサイト認証情報（735名）

項目	内容
対象者数	735名
対象期間	2021年3月25日〜2024年11月8日に会員情報でログインしてクレジットカード決済をしたお客様
漏洩した可能性のある情報	メールアドレス・パスワード・電話番号

パスワードが漏洩した可能性がある点については、他のウェブサービスで同じパスワードを使い回している場合に「クレデンシャルスタッフィング攻撃」（漏洩したID・パスワードを使って他サービスに不正ログインを試みる攻撃）のリスクがあります。当該メールアドレスとパスワードの組み合わせを他のサービスで使用している場合は、速やかにパスワードを変更することが推奨されます。

攻撃手法の詳細—Webスキミング（フォームジャッキング）とは

今回の攻撃は「決済ページ用JavaScriptが改ざんされた」ことによるものとされており、Webスキミング攻撃（別名：フォームジャッキング、Magecartスタイル攻撃）の典型的な手口です。

通常の不正アクセスがデータベースに直接侵入してすでに保存されたデータを窃取するのに対し、Webスキミングは決済フォームへの入力リアルタイムでデータを窃取します。具体的には、攻撃者が決済ページに不正なJavaScriptコードを埋め込み、ユーザーがクレジットカード情報を入力・送信した瞬間に、その情報が攻撃者のサーバーにも同時に送信される仕組みです。

Webスキミングの最大の特徴は、ユーザー側・サイト管理者側から見て通常の決済と区別がつかない点にあります。画面上の見た目は変わらず、決済も正常に完了するため、被害が長期間にわたって気づかれないケースが多く発生しています。本件の被害期間が約3年7か月に及んだのもこの特性によるものです。

このWebスキミング攻撃への対策として、Content Security Policy（CSP）の適切な設定・決済ページへのSubresource Integrity（SRI）の実装・定期的なJavaScriptファイルの完全性検証が有効ですが、多くの中小ECサイトではこれらが未整備のままとなっているのが実態です。

公表まで約3か月を要した経緯「不確定情報の公開はいたずらに混乱を招く」と判断

ボンフォームは今回の公表が2026年1月16日の第1報から約3か月後となったことについて、以下の理由を説明しています。

「不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断したため、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました」

フォレンジック調査完了（2026年2月19日）から公表（2026年4月27日）まで約2か月を要しており、この間にカード会社との連携体制・対象者への個別通知準備・FAQ整備等が行われたとみられます。

なお、ECサイトは2026年1月16日の発覚時点で即座に停止されており、警察への被害申告（同日）・個人情報保護委員会への報告（1月19日）はいずれも迅速に実施されています。

対象者がとるべき対応

クレジットカードの利用明細確認として、2021年3月25日〜2024年11月8日の期間中にボンフォームオンラインストアでクレジットカード決済をした場合は、利用明細に心当たりのない請求がないかを確認してください。不審な請求があれば、カード裏面に記載のカード会社に速やかに連絡してください。

カードの差し替えとして、対象期間中に利用した方は、フルカード情報（カード番号・有効期限・セキュリティコード）が漏洩した可能性があるため、カードの差し替えを検討することが推奨されます。ボンフォームはカード再発行の手数料についてお客様負担なしとなるようカード会社と調整しており、手数料の案内があった場合はボンフォームの相談窓口（0120-195-025）に連絡することが推奨されています。

パスワードの変更として、対象期間中に会員ログインしてクレジットカード決済した735名については、同じメールアドレス・パスワードの組み合わせを他のサービスで使用している場合は速やかにパスワードを変更してください。