1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. 佐嘉平川屋オンラインショップへの不正アクセスで流出したクレカ情報を不正利用したベトナム国籍の女を逮捕

佐嘉平川屋オンラインショップへの不正アクセスで流出したクレカ情報を不正利用したベトナム国籍の女を逮捕

セキュリティニュース

投稿日時: 更新日時:

佐嘉平川屋オンラインショップへの不正アクセスで流出したクレカ情報を不正利用したベトナム国籍の女を逮捕

2026年6月24日、佐賀県警は佐嘉平川屋(武雄市北方町)が運営するオンラインショップへの不正アクセスで流出したクレジットカード情報を使って不正購入を行ったとして、私電磁的記録不正作出・同供用および窃盗の疑いで、ベトナム国籍の専門学生の女(22)=東京都北区上十条5丁目=を逮捕しました。

佐賀新聞が同日夕方に報じました。逮捕容疑は2026年1月22日、インターネットショッピングサイトで東京都の60代女性のクレジットカード情報を利用してヘアブラシ(販売価格5,500円相当)を購入した疑いで、容疑を認めています。

被疑者のスマートフォンには多数の他人のクレジットカード情報が保存されており、余罪の捜査も進んでいます。

なお今回逮捕されたのは漏洩したカード情報を「使用した人物」であり、佐嘉平川屋のオンラインショップに不正アクセスしてカード情報を窃取した実行犯はいまだ特定されておらず、佐賀県警は組織的な犯行の可能性も視野に捜査を継続しています。

サマリー

  • 被害企業:株式会社佐嘉平川屋(佐賀県武雄市北方町、豆腐製造販売)
  • 対象サービス:佐嘉平川屋オンラインショップ(saga-hirakawaya.jp)※楽天サイト・店舗は対象外
  • 不正アクセス被害期間:2025年3月21日〜2026年3月10日(約1年間)
  • クレジットカード情報漏洩:6,303件(対象顧客5,783名)
  • 個人情報漏洩:73,213件(対象顧客30,170名)
  • 公式発表日:2026年6月15日
  • 原因:システムの脆弱性を突いた不正アクセス→ペイメントアプリケーション改ざん
  • 警察への被害申告:2026年3月9日(カード決済停止も同日)
  • 個人情報保護委員会への報告:2026年3月12日
  • 逮捕:2026年6月24日(流出カード不正利用、ベトナム国籍女性22歳・東京都北区)
  • 逮捕容疑:私電磁的記録不正作出・同供用、窃盗
  • 不正アクセス実行犯:未特定・捜査継続中
項目 内容
漏洩情報(カード) カード名義人名・番号・有効期限・セキュリティコード
漏洩情報(個人) 氏名・生年月日・住所・電話番号・メールアドレス
個人情報の被害期間 2021年4月6日〜2026年3月10日(約5年間)
カード情報の被害期間 2025年3月21日〜2026年3月10日(約1年間)
カード決済停止日 2026年3月9日(カード会社からの連絡で発覚)
第三者調査完了日 2026年3月27日
逮捕被疑者 ベトナム国籍・専門学生・女性(22)・東京都北区
不正購入の内容 東京都60代女性のカード情報で5,500円のヘアブラシを購入

何が起きたか

2026年3月9日、一部のクレジットカード会社から佐嘉平川屋に対して「顧客のクレジットカード情報が漏洩した疑いがある」との連絡が入りました。同社はその日のうちにオンラインショップでのカード決済を停止し、所轄警察署に被害申告を行いました。翌3月12日には個人情報保護委員会への報告を完了し、第三者調査機関による調査も並行して開始しました。

3月27日に調査機関による調査が完了し、2025年3月21日から2026年3月10日の約1年間にわたって同サイトのクレジットカード決済利用者の情報が漏洩していたことが確認されました。調査の結果を受け、同社は6月15日に公式発表を行っています。

その約9日後の6月24日、事件は新たな局面を迎えました。佐賀県警サイバー犯罪対策課は、流出したカード情報を使って不正購入を行ったとして、東京都北区在住のベトナム国籍の専門学生の女(22)を逮捕しました。逮捕容疑は2026年1月22日、東京都内の60代女性のクレジットカード情報を用いてインターネットショッピングサイトでヘアブラシ1個(販売価格5,500円相当)を購入したというもので、容疑を認めています。被疑者のスマートフォンからは多数の他人のクレジットカード情報が発見されており、余罪も調べられています。

同社の平川大計社長は逮捕を受けて「逮捕されるとは思っていなかった。捜査をお任せしたい。不正アクセスによって多くの人に迷惑をかけてしまい、こうした犯罪が世の中からなくなればと思う」とコメントしています。

原因

佐嘉平川屋のオンラインショップが受けた攻撃の手法は、ECサイトに対するサイバー攻撃の中でも特に被害規模が大きくなりやすい「ペイメントアプリケーション改ざん」(スキミング型)です。

このタイプの攻撃は、ECサイトのシステムに存在する脆弱性を突いて不正アクセスし、決済処理を担うペイメントアプリケーションのコードを改ざんすることで、顧客がカード情報を入力した瞬間にそのデータを攻撃者の管理するサーバーに送信するよう仕掛けます。顧客から見ると通常通りの決済画面が表示されて購入が完了するため、被害に気づきにくいという特性があります。

今回の事案では2025年3月21日から2026年3月10日までの約1年間、この状態が継続していました。この期間に同サイトでカード決済をした顧客の情報が攻撃者に送信されていた可能性があります。長期間にわたって被害が継続していた背景には、決済画面の改ざんはサーバーのファイルや通信量の異常として顕在化しにくく、外部のカード会社からの通知がなければ発見が遅れるという構造的な問題があります。実際に今回も発覚のきっかけはカード会社からの連絡でした。

なお、同社の楽天サイトおよび実店舗で使用されたクレジットカードは今回の対象ではなく、攻撃を受けたのは自社EC(saga-hirakawaya.jp)のみです。

漏洩した情報の範囲

クレジットカード情報については、2025年3月21日から2026年3月10日の期間中に同サイトでカード決済を行った5,783名(6,303件)のカード名義人名・カード番号・有効期限・セキュリティコードが漏洩した可能性があります。セキュリティコードを含む全情報が対象となっているため、漏洩したカード情報を使った不正購入(カードの現物なしで決済できる決済に悪用)のリスクがあります。

個人情報については、2021年4月6日から2026年3月10日の約5年間に同サイトで顧客情報を入力したことがある30,170名(73,213件)の氏名・生年月日・住所・電話番号・メールアドレスが漏洩した可能性があります。対象期間がカード情報より長く、より多くの顧客が含まれます。

佐嘉平川屋は対象顧客に電子メールで個別連絡を行っており、届かない場合は書状での通知としています。また、クレジットカードの再発行を希望する場合の手数料は顧客に負担させないようカード会社に依頼しているとしています。

逮捕者は「使った人」 ─ 不正アクセスの実行犯は未特定

今回の逮捕において重要な点は、逮捕された22歳の女性は佐嘉平川屋のオンラインショップに不正アクセスしてカード情報を窃取した人物ではなく、何らかの経路で入手した盗難カード情報を実際に使用した人物だという点です。

カード情報を不正利用するために、実際の窃取者が自分で使用するのではなく、ダークウェブ上の地下市場などで第三者に販売する構図は、カード情報窃取キャンペーンでは典型的なパターンです。今回の被疑者がどのような経路でカード情報を入手したかは現在も捜査中であり、組織的な犯行の可能性も視野に入れて捜査が進んでいます。

佐賀県警サイバー犯罪対策課は、カード情報の入手経路と佐嘉平川屋への不正アクセスに関与した人物の特定を引き続き進めています。ECサイトに実際に侵入してペイメントアプリケーションを改ざんした攻撃者の特定・逮捕には、国際的な情報共有や専門的なフォレンジック調査が必要となるケースが多く、解決まで長期間を要することがあります。

ECサイト運営者・情報システム部門への示唆

今回の事案は、ECサイト運営における決済セキュリティの課題を端的に示しています。

ペイメントアプリケーション改ざん(Webスキミング)への対策として最も実効性が高いのは、自社でカード決済処理を持たないことです。Stripe・PayPay・楽天ペイといった決済代行サービスを経由したカード決済(トークン決済・外部リダイレクト型)では、カード番号そのものが自社サーバーを通過しないため、仮に自社サイトが改ざんされても決済情報は窃取できません。カード情報を自社システムで処理する設計にしている場合は、PCI DSS(PCIデータセキュリティ標準)への準拠状況と、外部からの定期的な脆弱性診断の実施状況を改めて確認してください。

発見の遅れという観点では、今回の事案は発覚のきっかけがカード会社からの通知でした。ECサイト側での検知手段として、ファイル整合性監視(重要なPHPファイルの改ざんを検知)・Webアプリケーションファイアウォール(WAF)・不正なアウトバウンド通信の監視が有効です。定期的なサイトのコードレビューと、決済処理ファイルの変更履歴の確認も検知に寄与します。

カード情報が漏洩した後の二次被害として、今回のように第三者によって不正購入に利用されるケースが確認されています。被害の発覚後は速やかにカード会社へ通知し、対象カードのモニタリング強化を依頼することが、顧客への二次被害を最小化するうえで重要です。

FAQ

Q. 楽天の佐嘉平川屋の店舗でカードを使った場合も影響を受けますか?

A. 受けません。今回の漏洩はsaga-hirakawaya.jpの自社オンラインショップに限定されており、同社楽天サイトおよび実店舗でのカード利用は対象外であることが公式発表で明示されています。

Q. 今回逮捕された人物が不正アクセスをした人ですか?

A. 違います。逮捕された22歳の女性は、流出したカード情報を使って不正購入を行った容疑での逮捕です。佐嘉平川屋のサイトに不正アクセスしてカード情報を窃取した実行犯は、現時点でまだ特定されていません。佐賀県警はカード情報の入手経路の特定と、不正アクセスに関与した人物の捜査を継続しています。

Q. セキュリティコードも漏洩していますか?

A. はい。公式発表では「クレジットカード名義人名・クレジットカード番号・有効期限・セキュリティコード」のすべてが対象となっています。セキュリティコードまで含む完全なカード情報が漏洩した可能性があるため、対象期間中に同サイトでカード決済をされた方はカード明細の確認とカード会社への問い合わせが推奨されます。

Q. 対象かどうかを確認する方法はありますか?

A. 佐嘉平川屋は対象顧客に個別メールで通知しています。届いていない場合でも、2021年4月6日以降に同サイトで顧客情報を入力したことがある方、または2025年3月21日以降にカード決済をしたことがある方は、問い合わせ窓口(フリーダイヤル0120-675-814、受付9:00〜18:00平日)に確認することを推奨します。

出典

当サイト関連記事

 

関連記事

佐嘉平川屋 オンラインショップが不正アクセスで最長約5年分・5,783名のクレジットカード情報と30,170名の個人情報漏洩佐嘉平川屋 オンラインショップが不正アクセスで最長約5年分・5,783名のクレジットカード情報と30,170名の個人情報漏洩 自衛隊、機密端末50台以上にマルウェアが混入したUSBへ約1年間接続自衛隊、機密端末50台以上に中国 製 マルウェアが混入したUSBへ約1年間接続 資生堂美容室、業務委託先 サインドへの不正アクセスで個人情報を閲覧された可能性-流出の痕跡なし資生堂美容室、業務委託先 サインドへの不正アクセスで個人情報を閲覧された可能性-流出の痕跡なし 総務省がKDDIに「報告徴収」の行政処分 -メール システムへの不正アクセスによるサイバー攻撃で総務省がKDDIに「報告徴収」の行政処分 -メール システムへの不正アクセスによるサイバー攻撃で マルタケ、不正アクセスで取引先や社員の個人情報漏洩の恐れマルタケ、不正アクセスで取引先や社員の個人情報漏洩の恐れ NECが英セキュリティ大手と能動的サイバー防御強化に向けたMOUを締結NECが英セキュリティ大手と能動的サイバー防御強化に向けたMOUを締結 1Passwordがイスラエル発のApono社を250億〜300億円規模で買収1Passwordがイスラエル発のApono社を250億〜300億円規模で買収 あなぶきハウジングサービスのランサムウェアによりサイバー攻撃の個人情報漏洩件数が207,773件に確定あなぶきハウジングサービスのランサムウェアによりサイバー攻撃の個人情報漏洩件数が207,773件に確定 国内 ISP の認証情報を悪用したフィッシングメールが多発-KDDI のメールシステム不正アクセスとの関連は不明国内 ISP の認証情報を悪用したフィッシングメールが多発-KDDI のメールシステム 不正アクセスとの関連は不明