1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. 駿河屋 不正アクセスでクレジットカードや個人情報など3万件超が漏洩の可能性

駿河屋 不正アクセスでクレジットカードや個人情報など3万件超が漏洩の可能性

セキュリティニュース

投稿日時: 更新日時:

駿河屋 不正アクセスでクレジットカードや個人情報など3万件超が漏洩の可能性

中古ホビー通販サイト「駿河屋.JP(suruga-ya.jp)」を運営する駿河屋(株式会社エーツー)は2025年12月4日、8月に発生した自社サービスへの第三者による不正アクセスについて、フォレンジック調査(デジタル鑑識)が完了し、クレジットカード情報を含む個人情報が最大で約3万件漏えいした可能性があると発表しました。

不正アクセスの原因と漏えい期間

今回のインシデントは、「監視ツールの脆弱性を突いた不正アクセス」によって、駿河屋.JPの決済ページで使用されていたJavaScriptが改ざんされたことが原因だと説明されています。

主な経緯は次のとおりです。

  • 2025年8月4日
    外部からの問い合わせをきっかけに社内調査を実施し、決済ページのJavaScript改ざんを検知。
    同日15時22分までに改ざん部分の修正を完了。

  • 2025年8月8日
    個人情報保護委員会への報告および警察への相談を実施。
    あわせて決済代行会社との取り決めに基づき、クレジットカード決済機能を停止。

その後、外部専門家によるフォレンジック調査の結果、攻撃者がサーバーに侵入したとみられる時刻が特定され、漏えいの可能性が生じた期間は「2025年7月23日 12時50分〜2025年8月8日」であることが判明しました。

漏えいの可能性がある件数と対象情報

調査の結果、漏えいの可能性があるのは、上記期間中に「駿河屋.JP」でクレジットカード決済を行った29,932名で、クレジットカード情報としては30,431件が対象となる可能性があるとしています。

漏えいしたおそれがある情報の種類は次のとおりです。

クレジットカード情報

  • カード名義人名

  • カード番号

  • 有効期限

  • セキュリティコード

  • カードブランド

個人情報

  • 氏名

  • 住所

  • 郵便番号

  • 電話番号

  • メールアドレス

  • 領収書宛名

  • 領収書の但し書き

該当するお客様には、同社から電子メールまたは郵送により個別に連絡を行っている、もしくは今後順次連絡するとしています。

ほかの個人情報流出の有無と利用者への呼びかけ

フォレンジック調査によると、今回の決済ページ改ざん以外について、同社が保有する個人情報がサーバーから持ち出された「証跡は確認されていない」とのことです。

一方で、クレジットカード情報が漏えいした可能性がある以上、同社は利用者に対し、次の対応を強く呼びかけています。

  • 利用しているクレジットカードの利用明細に不審な請求がないか確認すること

  • 身に覚えのない請求があった場合は、カード裏面記載のカード会社へ至急連絡すること

  • アカウントの安全性確保のため、

    • パスワードの変更

    • 二段階認証の有効化
      を行うこと

また、カードの再発行を希望する場合、再発行手数料については利用者に負担がかからないよう、同社からカード会社に依頼していると説明しています。

会社側の対応状況と再発防止策

駿河屋は、8月8日の時点から対象となるお客様への個別連絡を開始しており、今回のフォレンジック結果を踏まえ、新たに追加で連絡が必要となった人に対しても、同様に順次案内を行うとしています。

あわせて、カード会社や決済代行会社と連携し、クレジットカードの不正利用監視を継続しているとのことです。

再発防止策としては、次のような技術・運用面での強化を進めていると説明しています。

  • 改ざん検知機能の強化

  • アクセス制御と多層防御の強化

  • 定期的な第三者セキュリティ診断の実施

クレジットカード決済の再開方針

現在、駿河屋.JPのクレジットカード決済は停止されたままですが、同社は、

  • 必要な対策の実装

  • 外部専門機関などによる安全性確認

が完了した段階で再開する方針です。具体的な再開時期については、決まり次第、公式サイト上であらためて告知するとしています。

公表まで時間を要した理由

今回の詳細な報告までに時間を要した点について、同社は次のように説明しています。

  • 2025年8月8日に漏えい懸念を確認し、クレジットカード決済停止と利用者向けのお知らせ・注意喚起を実施

  • 同日、個人情報保護委員会への報告と所轄警察署への被害申告を実施

  • 第三者機関によるフォレンジック調査を依頼し、2025年10月10日に調査完了

  • その後も、再発防止策の実効性確保を最優先とし、関係各社との連携・調整を行ったうえで、公表タイミングを判断

こうしたプロセスにより、詳細の公表が12月までずれ込んだことについて、同社は「発表までお時間を要しましたことを、重ねて深くお詫び申し上げます」としています。

関連記事

駿河屋、不正アクセスによるサイバー攻撃で個人情報漏洩 クレジットカード決済を一時停止駿河屋、不正アクセスによるサイバー攻撃で個人情報漏洩 クレジットカード決済を一時停止 リサイクル着物おりいぶへの不正アクセスでクレジットカード情報や個人情報など約208件が流出の可能性リサイクル着物おりいぶへの不正アクセスでクレジットカード情報や個人情報など約208件が流出の可能性 三井ショッピングパークポイントで なりすまし 不正ログインを確認 パスワード変更と履歴確認を呼びかけ三井ショッピングパークポイントで なりすまし 不正ログインを確認 パスワード変更と履歴確認を呼びかけ Default Thumbnail三重県文化振興事業団のメールアカウントが乗っ取られ7万件の迷惑メール配信の踏み台に ジェイ・ウィル・パートナーズが不正アクセスにより約7000名の個人情報漏洩の可能性ジェイ・ウィル・パートナーズが不正アクセスにより約7000名の個人情報漏洩の可能性 玄海町ふるさと納税サイト、2024年8月の不正アクセスにより約41万件の個人情報が漏洩玄海町 ふるさと納税サイト、2024年8月の不正アクセスにより約41万人の個人情報が漏洩 やまがた農業支援センター、サポート詐欺で約3万2千人の個人情報漏洩の可能性やまがた農業支援センター、サポート詐欺で約3万2千人の個人情報漏洩の可能性 不動産投資の楽待に不正アクセス-会員の個人情報や加盟店情報が漏洩した可能性不動産投資の楽待に不正アクセス-会員の個人情報や加盟店情報が漏洩した可能性 芝浦工業大学、不正アクセスで学生の個人情報漏洩の可能性芝浦工業大学、不正アクセスで学生の個人情報漏洩の可能性