駿河屋は8月8日、ECサイト「駿河屋.JP」で第三者による不正アクセスが発生し、個人情報およびクレジットカード情報の漏えいが発生したことを発表しました。さらなる影響拡大を防ぐため、2025年8月8日より、クレジットカード決済の利用を一時停止しているとのことです。
発生の経緯は次の通りです:
-
2025年7月23日:不正アクセスを検知し、調査とモニタリングを開始。
-
2025年8月4日:システムの一部が改ざんされ、情報漏えいの可能性が判明。
-
2025年8月8日:クレジットカード決済を一時停止。
漏洩した可能性のある情報は、個人情報(氏名、住所、電話番号、メールアドレス、郵便番号、領収書の宛名・但し書き)およびクレジットカード情報(カード番号、セキュリティコード、有効期限、カード名義、カードブランド)です。
駿河屋の対応
駿河屋は、個人情報保護委員会と警察へ報告済みで、8月8日からクレジットカード決済を停止しています。また、外部専門機関によるフォレンジック調査を実施予定です。
ユーザーに対しては、身に覚えのない請求がないか、カード明細を確認すること、不正利用が疑われる場合は、カード会社へ速やかに連絡することを要望しています。
なお、現在利用可能な代替決済手段は以下の通りです。
- PayPay
- エポスかんたん決済
- d払い
- au PAY
- 代金引換
- PayPal
- Google Pay
- ペイジー
- 銀行振込
- 現金書留
今後は、セキュリティ強化と監視体制の強化を実施し、調査結果に基づき、影響のある顧客へ個別に案内する予定とのことまた、専用問い合わせ窓口 info2025@suruga-ya.co.jp の案内もされています。詳細は駿河屋公式発表ページをご確認ください。
なぜセキュリティコードまで漏洩?
なお公式ページでは漏洩に関する技術的な背景は掲載されていませんが、駿河屋のECサイトのシステムの一部が不正に改ざんされ、ユーザーが決済フォームに入力した情報(カード番号、名義、有効期限、セキュリティコードなど)が、リアルタイムで外部に送信される状態になっていたのではないかと推測されます。
セキュリティコードは保存・保持されないのが一般的であるため、入力時に盗み取られる形で漏えいした可能性が高いと考えられます。これは「フォームジャッキング」や「Magecart型攻撃」と呼ばれる手法に類似しており、過去にも複数のECサイトで同様の被害が報告されています。
