ミートガイ 本店 オンラインストア、不正アクセスにより約10万件の個人情報とクレカ情報も6千件が漏洩

2025年3月24日ティーエムジーインターナショナル株式会社が運営する「ミートガイ本店オンラインストア」は2024年12月19日に発生した不正アクセスで、データベース内の顧客の個人情報（103,006件）、内クレジットカード情報（約6,929件）が漏洩した可能性があることが発表しました。

不正アクセスの概要

　2024年11月29日12時頃、顧客の連絡により「ミートガイ本店オンラインストア」のサイト内レジ画面の支払い方法の表示崩れ及びサイトの管理画面内の一部が表示出来なくなっていたことを発見し、外部のセキュリティ専門会社に連絡しサイト内システム調査を開始。

　2024年12月2日、不審なコードを発見し、外部のセキュリティ専門会社からアクセスログの確認調査の結果、不正コードが埋め込まれた可能性が高いと判断し、「ミートガイ本店オンラインストア」自体を一時閉鎖。この時点で情報漏洩の可能性があったため、個人情報保護委員会への報告、所轄警察署への届け出、クレジットカード決済代行会社に報告の上、12月19日にホームページにて案内を記載。

今回第三者調査機関によるフォレンジック調査が完了し、これまでに「ミートガイ本店オンラインストア」の注文・決済画面にて登録した顧客の個人情報及び、2024 年 8月 20 日から 2024年12 月 2 日 の間に「ミートガイ本店オンラインストア」において購入手続を実施いただいた顧客については、 購入時に入力されたクレジットカード情報が漏洩した可能性を否定できないことが判明。

上記に加え、偽の決済フォームにてクレジットカード情報を入力されたものの、購入にいたらなかった顧客、および偽の決済フォームのみに入力されたクレジットカード情報も流出した可能性がございますが、特定はできていない。

不正アクセスの原因

「ミートガイ本店オンラインストア」のシステムの一部に脆弱性があり、その脆弱性の悪用により情報を操作する不正コードがサイト内に埋め込まれたため。

漏洩した可能性のある個人情報

注文・決済画面から登録をされている顧客情報103,006名(注文者・配送先情報40,035件含む)で、

漏洩した可能性のある情報は以下のとおり

・氏名
・住所
・会社名
・電話番号
・メールアドレス
・注文者、配送先情報
・会員ID及びPW

クレジットカード情報が漏洩した可能性のある顧客

2024 年 8 月 20 日 から2024年 12 月 2 日 の間に「ミートガイ本店オンラインストア」において注文・決済画面より購入手続 （支払方法：クレジットカード決済）を実施いただいた顧客(6,929名)で、漏洩した可能性のある情報は以下のとおり。

・クレジットカード番号
・カード名義人名(2024年11月5日以降に注文・決済画面より購入手続された顧客に限る)
・有効期限
・セキュリティコード

なお上記個人情報漏洩、クレジットカード漏洩の可能性の対象者共に

偽の注文・決済画面が発生したことが懸念される2024年11月5日から2024年12 月 2 日 の間に、クレジットカード情報を含む個人情報を一度入力するもエラーとなり、 その後、購入手続を取りやめられた顧客も対象に含まれますが、対象となる顧客の特定には至っていない。

漏洩対象者はクレジットの不正利用とリスト型アカウントハッキング攻撃に注意

今回クレジットカード番号とセキュリティコードも漏洩しています。

クレジットカードが不正利用される可能性があるので、怪しい決済がないかを注視し、心当たりのない決済履歴がないか利用確認する必要があります。

また、会員IDとパスワードも漏洩していますのでリスト型アカウントハッキング攻撃に悪用される可能性があります。

利用されているIDとパスワードを変更し、多要素認証(MFA)を適用する事をお勧めします。

脆弱性管理と決済セキュリティの再構築が急務

今回の事案は、ECサイトにおけるシステムの脆弱性管理の重要性と、決済処理の適正な実装の欠如が重なった典型的な攻撃被害といえます。
特に偽の注文・決済画面を利用したスキミングは、ユーザーが正規の操作と思い込んでしまうため、防御が難しい事例です。

EC・通販事業者は、以下の対策を早急に検討すべきでしょう

• ソフトウェアの定期的なアップデート

• Web Application Firewall（WAF）の導入・強化

• フォレンジック対応を想定したログ管理体制の構築

• フロントエンド側でのフォーム改ざん検知・アラート機構の整備