1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. ECサイト「IKETEI ONLINE」へ不正アクセス、個人情報 9万件とカード情報3万件超が漏洩の可能性

ECサイト「IKETEI ONLINE」へ不正アクセス、個人情報 9万件とカード情報3万件超が漏洩の可能性

セキュリティニュース

投稿日時: 更新日時:

ECサイト「IKETEI ONLINE」へ不正アクセス、個人情報9万件とカード情報3万件超が漏洩の可能性

2025年5月19日、株式会社イケテイは、同社が運営する公式通販サイト「IKETEI ONLINE」に対する不正アクセスによって、最大で90,513件の個人情報と30,712件のクレジットカード情報が漏洩した可能性があると発表しました。すでに被害拡大を防ぐために同サイトは閉鎖されており、関係各所への報告も完了しています。

発覚の経緯と被害の詳細

不正アクセスが発覚したのは2025年2月26日。クレジットカード会社からの通報を受け、翌27日に「IKETEI ONLINE」のサービスおよびカード決済機能を停止し、外部の第三者調査機関による詳細な調査を開始しました。

3月25日に調査が完了し、2020年2月24日から2024年10月15日の間に同サイトを利用した顧客のクレジットカード情報が漏洩し、一部が不正利用された可能性があることが判明。また、会員データベースにも不正アクセスが可能な状態にあったことが確認されました。

クレジットカード情報の漏洩

今回の不正アクセスにより、2020年2月24日~2024年10月15日の間に「IKETEI ONLINE」でクレジットカード決済を利用したお客様30,712件のクレジットカード情報が漏洩した可能性が判明しました。漏洩した可能性のある項目は以下のとおりです。

  • カード名義人名

  • クレジットカード番号

  • 有効期限

  • セキュリティコード

一部のカードについては不正利用の可能性も報告されており、同社ではクレジットカード会社と連携して対象カードのモニタリングを実施中です。お客様には、利用明細の確認と、身に覚えのない請求があった場合には速やかにカード会社へ連絡するよう呼びかけています。

なお、クレジットカード差し替えについて「お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をおかけしないよう、弊社よりクレジットカード会社に依頼しております。」としています。

クレジットカード以外の個人情報の漏洩

加えて、90,513件にのぼる顧客の個人情報も、第三者調査機関の分析により、格納されたデータベースへのアクセスが可能な状態であったことが確認されました。対象となる情報は以下の通りです。

  • 氏名

  • 住所

  • メールアドレス

  • 電話番号

  • FAX番号

  • 注文情報

  • 会員情報

  • 配送先情報

これらの情報については、現時点で外部への実際の流出は確認されていないものの、漏洩の可能性を否定できないとして、対象のお客様には個別に連絡が行われています。不審なメールや電話に対する注意喚起も行われており、顧客に対し慎重な対応が呼びかけられています。

不正アクセスの原因と対応

原因は、「IKETEI ONLINE」の一部システムの脆弱性を突いた第三者による不正アクセスによって、ペイメントアプリケーションの改ざんが行われたことによるものです。

これを受け、イケテイは監督官庁である個人情報保護委員会に2月28日に報告し、3月3日には所轄の警察署にも通報。今後、捜査にも全面的に協力する方針を明らかにしています。

顧客への対応と注意喚起

影響を受けた可能性のある顧客には、電子メールまたは郵送で個別に連絡が行われており、クレジットカードの不正利用に関してはカード会社と連携してモニタリングを実施中とのこと。万が一、不審な利用履歴があった場合には、カード裏面の連絡先に相談するよう呼びかけています。

また、クレジットカードの再発行を希望する顧客については、手数料が発生しないようカード会社に要請を行っているとしています。

加えて、不審なメールや電話についても注意喚起しており、怪しいファイルの開封や、個人情報の提供を控えるよう顧客に強く求めています。

漏洩対象者はクレジットの不正利用とリスト型アカウントハッキング攻撃に注意

今回クレジットカード番号とセキュリティコードも漏洩しています。

クレジットカードが不正利用される可能性があるので、怪しい決済がないかを注視し、心当たりのない決済履歴がないか利用確認する必要があります。

また、会員IDとパスワードも漏洩していますのでリスト型アカウントハッキング攻撃に悪用される可能性があります。

利用されているIDとパスワードを変更し、多要素認証(MFA)を適用する事をお勧めします。

脆弱性管理と決済セキュリティの再構築が急務

今回の事案は、ECサイトにおけるシステムの脆弱性管理の重要性と、決済処理の適正な実装の欠如が重なった典型的な攻撃被害といえます。
特に偽の注文・決済画面を利用したスキミングは、ユーザーが正規の操作と思い込んでしまうため、防御が難しい事例です。

EC・通販事業者は、以下の対策を早急に検討すべきでしょう

  • ソフトウェアの定期的なアップデート

  • Web Application Firewall(WAF)の導入・強化

  • フォレンジック対応を想定したログ管理体制の構築

  • フロントエンド側でのフォーム改ざん検知・アラート機構の整備

関連記事

Omiaiの公式 SNSアカウントが乗っ取り被害、約2時間で復旧 エニトグループが謝罪と報告Omiaiの公式 SNSアカウントが乗っ取り被害、約2時間で復旧 エニトグループが謝罪と報告 ミートガイ本店オンラインストア、不正アクセスにより約10万件の個人情報とクレカ情報も6千件が漏洩ミートガイ 本店 オンラインストア、不正アクセスにより約10万件の個人情報とクレカ情報も6千件が漏洩 IIJ、不正アクセスによるサイバー攻撃で最大400万件超のメールアカウントの情報が漏洩かIIJ、不正アクセスによるサイバー攻撃で最大400万件超のメールアカウントの情報が漏洩か Default ThumbnailWelcomeHRを提供するワークスタイルテックが個人情報漏洩に関しての再発防止策を発表 タリーズ オンラインストアで約9.2万人の個人情報と5.2万人のクレジットカード情報が漏洩の可能性タリーズ、ECサイト(通販サイト)への不正アクセスで約9.2万人の情報漏洩 さらにクレジットカード情報も漏洩の可能性 北海道じゃらん、不正アクセスにより最大10.4万人の個人情報漏洩の可能性北海道じゃらん、不正アクセスにより最大10.4万人の個人情報漏洩の可能性 ネックストラップ ECサイト「ホットストラップ」で不正アクセス、クレジットカード含む個人情報が最大1,506件流出の可能性ネックストラップ ECサイト「ホットストラップ」で不正アクセス、クレジットカード含む個人情報が最大1,506件流出の可能性 やまがた農業支援センター、サポート詐欺で約3万2千人の個人情報漏洩の可能性やまがた農業支援センター、サポート詐欺で約3万2千人の個人情報漏洩の可能性 Default Thumbnailインテンスが運営するショップサイト「fofo」へ不正アクセス 約1.5万人の個人情報漏洩