アクリル運動部、ECサイトに対する不正アクセスで最大1.3万人分の個人情報が流出の恐れ

2025年4月24日、アクリル運動部株式会社は、同社が運営するECサイト『アクリル購買部』において外部からの不正アクセスが発生し、最大で約1万3,200名分の個人情報が流出した可能性があることを発表しました。 被害に遭ったのは、会員ユーザー約4,200名と非会員ユーザー約9,000名に及ぶとされ、個人情報保護委員会にも報告済みです。

4月15日から断続的に不正アクセス　マルウェアも確認

問題の発端は2025年4月16日（水）、社内から「アクリル購買部」の管理画面が表示されないという報告があったことから始まりました。調査の結果、サーバーに改ざんファイル、不審なフォルダ、マルウェアが複数発見され、ECサイトを含む関連サイト群全体が不正アクセスによるサイバー攻撃の被害を受けていたことが判明しました。

調査によれば、4月15日にマルウェアが実行され、同マルウェアがデータベース接続情報を外部に送信する機能を有していたことが確認されています。このマルウェアを通じて、顧客情報が含まれるデータベースが第三者に不正にアクセスされた可能性が高いとされ、4月17日に同社は情報漏えいの可能性を公表しました。

また、4月20日には再度不正アクセスにより注文データの追加が行われたことが確認され、緊急的にサイトをメンテナンスモードに切り替え、全アクセスを遮断しています。

最大1.3万人分の個人情報が対象　クレジットカード情報は無事

今回の攻撃により流出した可能性のある個人情報は以下の通りです：

• 氏名

• 住所

• 電話番号

• メールアドレス

• 暗号化されたパスワード

• 注文情報

• 購入履歴

対象期間は2022年10月から2025年4月までに「アクリル購買部」を利用した会員・非会員が対象です。幸いなことに、クレジットカード情報は外部決済会社を通じて処理されているため、流出の可能性はないとしています。

ECサイトの情報漏洩事例とセキュリティ対策集はこちら

原因はVPN経由の不正アクセス、改ざんファイルの痕跡も

今回の不正アクセスの原因について、同社は「悪意ある第三者によるVPN経由の不正アクセスであると断定」しています。マルウェアはデータベースへの接続情報を外部に送信する仕様であり、管理画面へのアクセス権を得ることで注文データの不正な追加なども行われたと見られています。

調査の過程では、管理者アカウントの乗っ取りなどの被害は確認されていないとし、パスワードやサーバー構成の見直し、WAF（Web Application Firewall）の再設定などを通じて緊急対応が進められました。

緊急対応と再発防止策、現在は新サーバーで復旧済み

同社では、以下の対策を緊急的に実施しています。

• サイトの復旧とマルウェアの除去

• 改ざんファイルの修復

• 管理者パスワードの変更

• IP制限の個別指定とWAF設定の確認

• 影響のあったパスワードの強制リセットと再設定依頼のメール送信

• サーバーの全面入れ替え（4月22日に新サーバーで復旧完了）

さらに今後は、第三者専門機関との連携による調査体制の強化、関連サイトの完全分離、CMSやプラグインの脆弱性管理、ファイル改ざん検知システムの導入などを進めるとしています。

顧客への注意喚起と呼びかけ

アクリル運動部は、顧客に対して以下の点を呼びかけています。

• 身に覚えのないメールやSMSに記載されたリンクをクリックしないこと

• 不審な電話や代引き商品の受け取りには応じないこと

• 同一のパスワードを他サイトで使いまわしている場合は速やかに変更すること

また、メールアドレスのドメイン部分（@以降）を使用したなりすましメールなどが届いた場合も注意が必要とし、不審な通信には一切応じないよう案内しています。

増加するEC/通販サイトへのサイバー攻撃

サイバー攻撃の対象としてECサイトが狙われるケースは年々増加しており、特に中小規模のEC運営企業にとっては他人事ではありません。情報システム部門として、こうしたリスクにどう備えるべきか。同様のインシデント事例と、実践的なセキュリティ対策をまとめた資料をご用意しました。自社の体制を見直す参考として、ぜひご活用ください。
👉 ECサイトの情報漏洩事例とセキュリティ対策集はこちら