スポーツに関連するオフィシャルグッズを販売する「GAORAオンラインショップ」サイバー攻撃で約1万6千件の個人情報漏洩の可能性

株式会社GAORAの許諾の下、株式会社グローバーが運営するショッピングサイト「GAORAオンラインショップ」で2024年に発生したサイバー攻撃(不正アクセス)によって、最大1,909件のクレジットカード情報および16,795件の個人情報が漏洩した可能性があることを公表しました。

不正アクセスの概要

2024年11月18日、外部機関からの指摘により、弊社サイトに不審なスクリプトが埋め込まれ、顧客情報が漏洩している可能性が高いとの連絡を受け、2024年11月19日、当サイトのカード決済を停止。

同時に第三者調査機関による調査も開始し、2025年1月11日、調査機関による調査が完了。
その結果、2020年10月10日～2024年11月19日の期間に「GAORAオンラインショップ」で購入されたお客様クレジットカード情報が漏洩し、一部の顧客のクレジットカード情報が不正利用された可能性のあることを確認

漏洩した可能性のある個人情報

個人情報（16,795件）

• 氏名
• 生年月日
• 性別
• 住所
• 電話番号
• メールアドレス
• 「GAORAオンラインショップ」マイページのログインパスワード
• 商品の配送先氏名（配送先が購入者様と別の場合）
• 商品の配送先住所（配送先が購入者様と別の場合）
• 商品の配送先電話番号（配送先が購入者様と別の場合）

クレジットカード情報（1,909件）

• カード名義人名
• カード番号
• 有効期限
• セキュリティコード

クレジットカード情報の漏洩に注意

今回クレジットカード番号とセキュリティコードも漏洩しています。

クレジットカードが不正利用される可能性があるので、怪しい決済がないかを注視し、心当たりのない決済履歴がないか利用確認する必要があります。

情報システム部門が注視すべきポイントと再発防止策

本件は「公開Webサイトに設置された決済アプリケーションの改ざん」という、広く起こり得る典型的な攻撃手法によるものです。

以下、情報システム部門が対応すべき対策を技術・運用の両面から解説します。

Webアプリケーションの改ざん検知体制の強化

Webサーバーのファイル整合性チェック（FIM：File Integrity Monitoring）や、改ざん検知ツール（例：Tripwire、Wazuhなど）を導入し、改ざんが即座に検知できる仕組みが必要です。

また、スクリプトの変更や外部ドメインへのPOSTリクエストが発生した際にアラートが上がるWAF（Web Application Firewall）ルールの設定も有効です。

決済機能のPCI DSS準拠と定期診断

クレジットカード情報を扱うサイトは、PCI DSSに準拠したセキュリティ対策が求められます。本件ではペイメントアプリケーションが攻撃対象となったことから、以下が再確認ポイントとなります：

• ソースコード管理と改ざん検知
• 決済処理の外部委託とトークナイゼーションの活用
• 決済処理部分のスクリプト外部読み込み禁止
• 外部脅威モデルを意識したコードレビュー

脆弱性管理の徹底とパッチ適用プロセスの整備

脆弱性スキャンやセキュリティ診断を定期的に実施し、CMS・ミドルウェア・ライブラリのセキュリティパッチを遅延なく適用する体制が求められます。開発ベンダーや外部制作会社との契約にも「パッチ提供・適用責任」を明記すべきです。

個人情報の保管・取り扱いルールの見直し

長期間サイトに保存されていたログインパスワードや配送先情報が被害対象となっていることから、**「不要なデータは持たない」**という最小権限・最小保管の原則を再徹底する必要があります。

• 定期的な個人情報データの棚卸しと削除
• パスワードのハッシュ保存確認（平文保存の禁止）
• データアクセスログの取得と監査