佐賀県武雄市北方町に本社を置き豆腐製造販売を展開する株式会社佐嘉平川屋(代表取締役:平川大計)は2026年6月15日、同社が運営する「佐嘉平川屋オンラインショップ(https://www.saga-hirakawaya.jp)」に対する第三者による不正アクセスがあり、お客様の個人情報およびクレジットカード情報が漏洩した可能性があると発表しました。
原因は同ショップのシステムの脆弱性を突いた不正アクセスによるペイメントアプリケーションの改ざんであり、これは決済ページに不正コードを埋め込んでクレジットカード情報をリアルタイムに窃取する「ウェブスキミング(Eスキミング)」と呼ばれる攻撃手法です。
漏洩した可能性があるのは、クレジットカード情報が5,783名(カード名義人名・カード番号・有効期限・セキュリティコードを含む)、個人情報が30,170名(氏名・生年月日・住所・電話番号・メールアドレス)です。クレジットカード情報の漏洩対象期間は2025年3月21日〜2026年3月10日の約1年間、個人情報の漏洩対象期間は2021年4月6日〜2026年3月10日の約5年間に及んでいます。なお、弊社楽天サイトおよび実店舗で使用されたクレジットカードは対象外と明記されています。現時点で一部のクレジットカード情報が不正利用された可能性があることが確認されており、影響を受けたカードの再発行手数料は同社がカード会社に負担を依頼しています。
サマリー
- 発表日:2026年6月15日(発覚から約3か月後)
- 被害を受けた組織:株式会社佐嘉平川屋(佐賀県武雄市北方町・代表:平川大計)、豆腐製造販売
- 対象サイト:佐嘉平川屋オンラインショップ(https://www.saga-hirakawaya.jp)
- 攻撃手法:システムの脆弱性を突いた不正アクセス→ペイメントアプリケーションの改ざん(ウェブスキミング)
- 漏洩した可能性があるデータ:
| 種類 | 対象者数(名) | 件数 | 対象期間 | 漏洩した可能性のある情報 |
|---|---|---|---|---|
| クレジットカード情報 | 5,783名 | 6,303件 | 2025年3月21日〜2026年3月10日 | カード名義人名・カード番号・有効期限・セキュリティコード(CVV) |
| 個人情報 | 30,170名 | 73,213件 | 2021年4月6日〜2026年3月10日 | 氏名・生年月日・住所・電話番号・メールアドレス |
- 不正利用:一部のクレジットカード情報について不正利用された可能性あり(カード会社と連携してモニタリング実施中)
- 対象外:弊社楽天サイト・弊社実店舗で使用されたクレジットカードは対象外
- 再発行手数料:カードの再発行を希望するお客様の手数料は会社がカード会社に負担を依頼
- 現状:オンラインショップは現在も停止中。再開日は決定次第告知
- 対応:2026年3月9日に警察署へ被害申告・2026年3月12日に個人情報保護委員会へ報告済み
目次
事案の詳細な経緯とタイムライン
| 日付 | 出来事 |
|---|---|
| 2025年3月21日 | 不正アクセスによりペイメントアプリケーションの改ざんが行われ、クレジットカード情報の窃取が開始されたと推定される期間 |
| 2026年3月9日 | 一部のクレジットカード会社から「サイトを利用した顧客のクレジットカード情報が漏洩している懸念」の連絡を受領。同日、クレジットカード決済を停止。第三者調査機関による調査を開始。警察署へ被害申告 |
| 2026年3月12日 | 個人情報保護委員会へ報告 |
| 2026年3月27日 | 第三者調査機関による調査が完了。2025年3月21日〜2026年3月10日のCC情報漏洩と不正利用の可能性を確認 |
| 2026年6月15日 | 公式発表。対象顧客へ個別メールによる通知を開始 |
注目すべき空白期間:調査完了(2026年3月27日)から公式発表(2026年6月15日)まで約2か月半が経過しています。同社は個別通知の準備・問い合わせ窓口の整備・FAQ作成等に時間を要したと考えられます。
攻撃手法の解説—ペイメントアプリケーション改ざん(ウェブスキミング)
ECサイトを標的にした「ウェブスキミング」とは
今回の原因である「ペイメントアプリケーションの改ざん」は、**ウェブスキミング(Eスキミング)**と呼ばれる攻撃手法と考えられます。攻撃の仕組みは以下のとおりです。
- 脆弱性の悪用による侵入:攻撃者がECサイトのCMS・プラグイン・サードパーティライブラリ等の脆弱性を突いて不正アクセスを実行
- ペイメントアプリの改ざん:決済処理に関わるJavaScriptや支払いページのコードに悪意あるスクリプトを注入
- リアルタイムのデータ窃取:顧客が決済ページにクレジットカード番号・有効期限・セキュリティコードを入力した瞬間に、そのデータを攻撃者のサーバーへ送信
- 長期間の潜伏:改ざんは表面上は見えないため、今回のように約1年間(2025年3月21日〜2026年3月10日)発覚しないまま稼働し続けることがあります
セキュリティコード(CVV)も漏洩対象
今回の漏洩情報に「セキュリティコード(CVV)」が含まれていることは特に深刻です。セキュリティコードはカード裏面に記載された3〜4桁の番号で、カード番号・有効期限と組み合わせることでカードを所持していなくてもオンライン決済が可能になります。カード情報が漏洩したお客様は不正利用のリスクが特に高くなっています。
なぜ楽天サイト・実店舗は対象外か
同社の楽天サイト・実店舗が対象外である理由は、ウェブスキミングが自社構築のECサイトのペイメントアプリに対して行われる攻撃だからです。楽天市場等のモール型ECサイトは楽天のシステム・決済基盤を使用するため、自社サイトの脆弱性に起因する今回の攻撃の対象にはなりません。同様に実店舗の決済端末(POSターミナル)も今回の攻撃とは別のシステムです。
漏洩の可能性がある個人情報の詳細
クレジットカード情報(5,783名)
対象期間:2025年3月21日〜2026年3月10日(約1年間)
この期間中に佐嘉平川屋オンラインショップでクレジットカード決済を利用したお客様が対象です。漏洩した可能性のある情報は以下のとおりです。
- クレジットカード名義人名
- クレジットカード番号
- 有効期限
- セキュリティコード(CVV/CVC)
その他の個人情報(30,170名)
対象期間:2021年4月6日〜2026年3月10日(約5年間)
この期間中に顧客情報を入力したことがあるお客様が対象です。漏洩した可能性のある情報は以下のとおりです。
- 氏名
- 生年月日
- 住所
- 電話番号
- メールアドレス
個人情報の対象期間が約5年間に及んでいることは注目に値します。これはペイメントアプリの改ざんが行われた2025年3月21日以前から、顧客データベースそのものに対するアクセスが行われていた可能性を示しています。
影響を受けた方が今すぐ取るべき対応
クレジットカードの利用明細を即座に確認
2025年3月21日〜2026年3月10日の間に佐嘉平川屋オンラインショップでクレジットカード決済を行ったことがある方は、直ちに利用明細を確認してください。
身に覚えのない請求があった場合は、カード裏面に記載のカード会社の緊急連絡先に即座に連絡してください。
クレジットカードの再発行を検討
今回漏洩した情報にはセキュリティコードが含まれるため、不正利用のリスクが非常に高くなっています。対象期間中に決済を行った場合は、カードの再発行を強く推奨します。
再発行手数料は佐嘉平川屋からカード会社に負担を依頼しています(カード会社に確認してください)。
個人情報を利用したフィッシング・詐欺に警戒
2021年4月6日〜2026年3月10日の間にオンラインショップに顧客情報を登録したことがある方は、漏洩した氏名・住所・電話番号・メールアドレスを悪用した以下の攻撃に注意してください。
- メールによるフィッシング(「カードが不正利用された」等の偽メール)
- 電話による詐欺(「佐嘉平川屋です」と偽った着信)
- 郵便物を利用した詐欺
今後届く不審な連絡は、必ず公式の問い合わせ窓口に確認してから対応してください。
情報システム担当者への教訓——ECサイトのウェブスキミング対策
今回の佐嘉平川屋の事案は、日本国内のECサイトを標的にしたウェブスキミング攻撃の典型的な事例です。EC事業者・情報システム担当者が実施すべき対策として以下が挙げられます。
①定期的なセキュリティスキャンの実施:サイト上で動作するJavaScriptの変更を検知するFIM(ファイル整合性監視)ツールやウェブアプリケーションファイアウォール(WAF)を導入し、不審な変更を即時検知できる体制を構築してください。
②決済ページのコンテンツセキュリティポリシー(CSP)の設定:CSPヘッダーを設定して承認済みのスクリプトのみを実行可能にすることで、不正に埋め込まれたスキミングスクリプトの実行を防止できます。
③サードパーティ決済への切り替えの検討:自社サイト上で決済情報を処理するシステムは、PCIスコープが広くなる分リスクも高くなります。StripeやPAY.JPのようなサードパーティ決済サービス経由のiFrame決済への切り替えを検討してください(スキマーが自社ページに入り込んでも入力フォーム自体は保護される)。
④クレジットカード会社からの通知を迅速に処理する体制:今回、発覚のきっかけはクレジットカード会社からの連絡でした。カード会社からの「漏洩懸念」の連絡を素早く対処できる受信体制を整え、受信後の初動手順(調査開始・サービス停止・当局報告)をIRPとして事前整備してください。
