お茶の荒畑園 公式サイト、不正アクセスで最大7万件超の個人情報が漏洩

2025年3月、株式会社荒畑園が運営する「お茶の荒畑園公式サイト」に対し、不正アクセスによる個人情報およびクレジットカード情報の漏洩が発生したことが公表されました。漏洩件数は最大で73,684件にのぼり、うち13,094件はクレジットカード情報が含まれる可能性があるとのことです。

インシデントの概要

 発覚までの流れ

• 2024年12月4日：システム会社から不正アクセスの連絡を受領

• 2024年12月5日：カード決済を即時停止、第三者調査機関による調査開始

• 2025年2月7日：調査結果により情報漏洩を確認

• 2025年3月 公表：顧客への個別連絡と共に、公式に発表

不正アクセスの手法と原因

本件は、公式ECサイトの一部の脆弱性を突かれ、ペイメントアプリケーションが改ざんされたことが原因とされています。

この手法は、Webスキミング（Magecart型攻撃）と呼ばれることも多く、近年国内外で被害が相次いでいます。

漏洩した可能性のある個人情報

会員情報（対象期間：2011年2月28日～2024年12月5日）

件数：最大73,684件の以下個人情報が漏洩

• 氏名・ふりがな

• 住所・電話番号

• メールアドレス

クレジットカード情報（対象期間：2024年6月5日～12月5日）

件数：13,094件（対象顧客数：6,342名）の以下内容が漏洩

• カード名義人

• カード番号

• 有効期限

• セキュリティコード

• 氏名・ふりがな

• 住所・電話番号・メールアドレス

公表が遅れた理由

不正アクセスが確認された2024年12月初旬から公表まで約3か月のタイムラグがありましたが、これは以下を理由としています

• 調査機関からの最終報告待ち

• クレジットカード会社との連携調整

• 被害範囲の特定と正確な通知準備

初動対応と公表のタイミングについては賛否あるものの、不確定情報による混乱回避を優先したと説明されています。

クレジットカード情報の漏洩に注意

今回クレジットカード番号とセキュリティコードも漏洩しています。

クレジットカードが不正利用される可能性があるので、怪しい決済がないかを注視し、心当たりのない決済履歴がないか利用確認する必要があります。

フィッシングメールにもご注意を

今回のような情報漏えい事故が発生した後は、それに便乗したフィッシングメールの配信が増加する傾向にあります。

たとえば、「荒畑園」をかたる偽のメールが届き、

• 「アカウントを再認証してください」

• 「セキュリティ強化のためログインをお願いします」

• 「返金のための口座情報をご入力ください」

といった名目で、偽サイトに誘導し個人情報やカード情報を再び盗み取ろうとする手口が多く確認されています。

荒畑園側からクレジットカード情報の再入力を求めるようなメールは送られません。

フィッシング被害防止のための注意点

• メール内のリンクは直接クリックせず、公式サイトを検索してアクセスする

• 差出人アドレスが正規のドメインかどうかを確認する

• 不審なメールやSMSが届いた場合は、開封せず削除する

• 「カード情報の再入力」や「ログインを促すメール」は高確率で詐欺であると認識する

• 被害が疑われる場合は、速やかにカード会社・警察・荒畑園の公式窓口に連絡する