駿河屋.JPでクレジットカード情報の漏洩が発生し、最大3万431件のカード情報と2万9932名の個人情報が流出した可能性があることが2025年12月4日に発表されました。対象となったのは2025年7月23日12時50分から8月8日までの期間にクレジットカード決済を行った顧客であり、カード番号だけでなくセキュリティコードを含む完全な情報が漏洩しています。本件は監視ツールの脆弱性を突いた不正アクセスが原因で、決済ページが改ざんされるWebスキミング攻撃によって引き起こされました。ホビー関連商品の買取・販売で国内最大手として知られる駿河屋において、これほど大規模な情報漏洩が発生したことは、EC業界全体に大きな衝撃を与えています。この記事では、駿河屋.JPの情報漏洩事件について、漏洩した情報の詳細な内訳、被害規模、攻撃の手口、そして被害者が取るべき対応策まで、すべてを詳しく解説します。
駿河屋.JPクレジットカード情報漏洩事件とは
駿河屋.JPクレジットカード情報漏洩事件とは、ホビー関連商品のECサイト「駿河屋.JP」を運営する株式会社エーツーにおいて発生した大規模な不正アクセス事件です。2025年8月に第一報が公表されていましたが、外部専門機関によるフォレンジック調査を経て、2025年12月4日に最終調査報告が発表されました。
この事件の特徴は、攻撃者がECサイトのメインシステムではなく、システムを管理・監視するための「監視ツール」の脆弱性を足場として侵入した点にあります。攻撃者は監視ツールの制御権を奪取した後、決済プロセスそのものを改ざんする高度な手法を用いました。この結果、本来であればPCI DSS(Payment Card Industry Data Security Standard)によって厳格に保護され、加盟店サーバーには保存されないはずのセキュリティコードを含む完全なクレジットカード情報が、ユーザーのブラウザ上から直接窃取される事態となりました。
駿河屋は、ゲーム、書籍、DVD、フィギュア等の中古買取・販売において国内トップクラスのシェアを誇るEコマース事業者です。膨大な取り扱い品目数を持ち、リアル店舗とECサイトの在庫連動、詳細な査定システム、そして日に数万件に及ぶトランザクションを処理する大規模なITインフラを運用しています。このような大規模ECサイトは、攻撃者にとって「成功すれば大量の真正な個人情報を一度に入手できる」魅力的な標的となります。
駿河屋.JP情報漏洩の被害規模と対象者
漏洩したクレジットカード情報の件数
漏洩したクレジットカード情報は最大3万431件に上ります。漏洩の対象となったのは、2025年7月23日12時50分から8月8日までの間に駿河屋.JPでクレジットカード決済を行った全ての顧客です。
漏洩したカード情報には、カード名義人名、クレジットカード番号、有効期限、セキュリティコード、そしてカードブランドが含まれています。特に深刻なのがセキュリティコード(CVV/CVC)の流出です。セキュリティコードは、カードが手元にあることを証明するための認証情報であり、通常、ECサイト側での保存がいかなる理由があっても禁止されています。これが流出したということは、攻撃者が「カード現物を持っているのと同等の権限」を手に入れたことを意味し、オンラインショッピングにおけるなりすまし購入の成功率が飛躍的に高まります。
漏洩した個人情報の件数
クレジットカード情報に加えて、最大2万9932名分の個人情報も漏洩しました。漏洩した個人情報には、氏名、住所、郵便番号、電話番号、メールアドレス、そして領収書の宛名や但し書きといった基本情報が含まれています。
カード情報の件数(3万431件)と個人情報の件数(2万9932名)に差があるのは、同一人物が期間中に複数回決済を行ったり、複数のカードを使い分けたりしたためです。
漏洩情報の危険性
この「カード情報フルセット」と「詳細な個人情報」の組み合わせは、ダークウェブ等で「Fullz(フルズ)」と呼ばれ、高値で取引される情報です。攻撃者はこれらの情報を用いて、高額な家電製品やブランド品の購入、電子マネーへのチャージ、あるいは他のサービスへのなりすまし登録を行うことができます。
さらに、メールアドレスや電話番号が流出したことにより、駿河屋やカード会社を騙るフィッシングメールやスミッシング(SMS詐欺)のターゲットになるリスクも急増します。「情報漏洩の確認のため」と称して偽サイトに誘導し、パスワードや新たなカード情報を入力させようとする手口が予想されます。
駿河屋.JP情報漏洩事件の時系列
侵入と潜伏期間:2025年7月23日~8月4日
フォレンジック調査によって特定された攻撃者による最初の侵害行為は、2025年7月23日の12時50分に発生しました。この瞬間、攻撃者はシステムの脆弱性を悪用してサーバーへの侵入に成功し、直ちに決済ページの改ざんを実行したと考えられます。
7月23日から被害が発覚する8月4日までの約12日間が「侵害期間」となりました。この期間中、ECサイトの表面上の動作には何ら異常が見られず、顧客は通常通り商品の購入と決済を行っていました。しかし、裏側では入力されたクレジットカード情報が正規の決済代行会社へ送信されるのと同時に、攻撃者が用意した外部のコマンド&コントロール(C2)サーバーへも送信され続けていたのです。この期間が夏休みシーズンの需要期と重なったことが、3万件という大規模な被害につながった要因の一つです。
駿河屋は7月23日に「不正アクセスを検知し、各種調査、モニタリングを実施していた」との声明を出していますが、実際にはその検知体制をすり抜ける形で、あるいは検知後の対応を行っている最中に、決済ページへの改ざんという最も致命的な攻撃を許してしまったことになります。
発覚と初動対応:2025年8月4日~8月8日
事態が急転したのは2025年8月4日です。外部機関からの問い合わせを受け、駿河屋は社内調査を開始しました。調査の結果、決済ページで使用されているJavaScriptファイルが改ざんされている事実を確認しました。
駿河屋は8月4日中に改ざん箇所の修正(無害化)を完了しました。その後、慎重な影響範囲の調査を経て、8月8日に事態の重大性を認識し、クレジットカード決済機能の全面停止を決定しました。同日、個人情報保護委員会への報告および所轄警察署への相談を実施し、第一報として顧客への注意喚起を行いました。
調査と確定報告:2025年8月9日~12月4日
決済停止後、駿河屋は外部の専門調査機関による詳細なフォレンジック調査を開始しました。この調査は、サーバーのログ解析、ファイルシステムの変更履歴確認、マルウェアの解析など多岐にわたり、調査が完了したのは2025年10月10日です。
その後、10月から12月にかけての約2ヶ月間は、調査結果の精査、クレジットカード会社との連携(不正利用モニタリングの依頼や再発行手数料の調整)、再発防止策の策定、そして顧客への通知体制の構築に費やされました。そして2025年12月4日、すべての情報が出揃った段階で、確定報としてのプレスリリースおよび対象者への個別連絡が行われました。
駿河屋.JP情報漏洩の原因と攻撃手法
監視ツールの脆弱性が侵入経路に
駿河屋の発表において特筆すべき点は、侵入の原因がECサイトの基幹プログラム(ショッピングカートシステム等)ではなく、「監視ツール」の脆弱性にあったと特定されたことです。
大規模なWebシステムの運用現場では、サーバーの稼働状況(CPU使用率、メモリ残量、ディスク容量)やネットワークトラフィック、アプリケーションのレスポンスタイムなどを24時間体制で監視するために、各種監視ツールが導入されます。これらの監視ツールは、システムの深部情報を取得する必要があるため、往々にしてOSの管理者権限(root権限)や、Webサーバーの設定ファイルへの書き込み権限など、極めて高い特権が付与されて運用されています。
攻撃者は、インターネット上に公開されていた監視ツールの管理画面を発見し、未修正の脆弱性を突くエクスプロイトコードを実行するか、あるいはデフォルトのパスワードや推測容易な認証情報を突破するブルートフォース攻撃によって管理権限を奪取したと考えられます。一度監視ツールの制御権を奪えば、攻撃者はその高い権限を利用してWebサーバー内の任意のファイルを操作することが可能になります。駿河屋のケースでは、このルートを経由して、決済画面を構成するJavaScriptファイルに悪意あるコードを追記する「ラテラルムーブメント(横展開)」が行われました。
Webスキミング(フォームジャッキング)攻撃とは
侵入後に実行された攻撃は、Webスキミングと呼ばれる手法です。これは、現実世界のATMにスキマー(読み取り機)を設置してカード情報を盗む手口のWeb版であり、ユーザーのブラウザ上で実行されるクライアントサイド攻撃の一種です。
その仕組みは以下の通りです。まず、攻撃者は正規の決済用JavaScriptファイルを改ざんし、数行の不正なコードを紛れ込ませます。ユーザーが商品をカートに入れ、決済画面(チェックアウト画面)に遷移すると、ブラウザは改ざんされたJavaScriptをサーバーから読み込み、実行します。この不正なスクリプトは、ユーザーが入力フォームに対して行う操作を監視しており、クレジットカード番号、有効期限、セキュリティコードといったフィールドに入力された値をリアルタイムで捕捉します。そして、ユーザーが「注文を確定する」ボタンを押した瞬間、正規の決済代行会社のサーバーへデータを送信するのと並行して、攻撃者が管理する別のサーバーへも入力データを密かに送信するのです。
この攻撃の最大の特徴は、ユーザー側には一切の異常が見えない点にあります。画面のデザインが崩れることもなければ、決済エラーが出ることもありません。正規の取引も正常に完了するため、ユーザーは商品を受け取ることができ、カード情報の漏洩に気づくのは数週間後、身に覚えのない請求が届いた時となります。
「非保持化」対策が無効化された理由
日本の割賦販売法改正により、EC事業者はクレジットカード情報の「非保持化」が義務付けられています。これは、加盟店のサーバーにカード情報を通過させず、保存もしない仕組み(トークン決済やリンク型決済)を導入することを指します。駿河屋もまた、決済代行会社を利用し、この非保持化対応を行っていたと考えられます。
しかし、Webスキミングは「サーバーに届く前」、すなわちユーザーの手元のブラウザ上で情報を盗み出すため、サーバー側の非保持化対策を完全に無力化します。サーバーには暗号化されたトークンしか届かなくても、攻撃者はそのトークン化処理が行われる前の「平文のカード番号」を入手できるからです。本件は、従来の「サーバーを守れば安全」という境界防御モデルが、現代のフロントエンド領域への攻撃に対してはいかに脆弱であるかを浮き彫りにした典型例と言えます。
駿河屋.JP情報漏洩事件発生前の決済トラブル
今回のインシデントを単発の事故として捉えるのではなく、一連の流れの中で理解するためには、事件発生直前の数ヶ月間に駿河屋で起きていた決済関連のトラブルに着目する必要があります。2025年5月から6月にかけて、駿河屋では成人向け商品の取り扱いに関連して、クレジットカード決済機能の停止と再開が繰り返されていました。
具体的には、VisaやMastercardといった国際ブランドによる表現規制やコンプライアンス強化の影響を受け、一時的にこれらのブランドでの成人向け商品決済が利用不可となる事態が発生していました。これに伴い、社内のシステム部門や決済担当部門は、特定の決済ブランドのみを制御するシステム改修や、決済代行会社との折衝、規約対応などに追われていたと推測されます。
セキュリティインシデントは往々にして、組織が別の緊急対応にリソースを奪われ、定常的な監視やパッチ適用といった「衛生管理(サイバーハイジーン)」の優先順位が一時的に低下した隙を突いて発生する傾向があります。5月から7月にかけての決済システムの度重なる変更や調整が、後の監視ツール脆弱性放置や検知遅れの間接的な要因となった可能性は否定できません。
駿河屋の対応と被害補償について
公表までのタイムライン
インシデント検知から最終報告まで約4ヶ月を要した点について、駿河屋は「再発防止策の実効性確保を最優先とし、外部調査完了後に関係各社との調整を行っていたため」と説明しています。フォレンジック調査に1~2ヶ月かかるのは技術的に妥当であり、不確定な情報を小出しにして混乱を招くよりは、確定情報を待って公表するという判断には一定の合理性があります。
しかし、利用者心理としては、自分のカードが漏洩したか否かが4ヶ月間も不明瞭なままであったことは大きな不安要素です。特に、8月8日の第一報の時点で「漏洩の可能性がある」とされていたものの、対象期間や件数が確定していなかったため、利用者は能動的なカード停止に踏み切りにくい状況にありました。
クレジットカード再発行手数料の負担
駿河屋は、クレジットカードの差し替え(再発行)を希望する顧客に対し、その手数料が顧客負担とならないようカード会社へ依頼済みであると発表しました。これは近年の大規模漏洩事案における標準的な対応です。また、対象者への個別連絡(メールおよび書状)を実施し、不審な請求の確認を呼びかけるなど、事後対応としては適切な措置を講じています。
クレジットカード決済の再開時期
クレジットカード決済の再開時期については「対策実装と外部確認が完了次第」としており、具体的な目処は立っていません。これは、単なるシステムの修正だけでなく、監視体制の抜本的な見直しや、PCI DSS準拠状況の再審査などが必要となるため、相当の時間を要することが予想されます。その間、代引きや銀行振込、QRコード決済(PayPay等)といった代替手段での運用が続くことになります。
駿河屋.JP情報漏洩の被害者が取るべき対応
クレジットカードの利用停止と再発行
最も確実かつ緊急度の高い対策は、対象のクレジットカードを利用停止し、番号を変更して再発行することです。セキュリティコードまで流出している以上、パスワード変更や3Dセキュアの設定だけでは不正利用を完全に防ぐことはできません。駿河屋が再発行手数料の負担を手配しているため、ユーザーはカード会社の専用窓口または裏面の番号に連絡し、「駿河屋の情報漏洩対象である」旨を伝えて手続きを行うべきです。
利用明細の長期的な監視
クレジットカード情報の不正利用は、流出直後に行われるとは限りません。攻撃者は、カードの有効性が確認された情報をリスト化し、数ヶ月あるいは半年以上経過してから不正利用を行う「寝かせ」の手口を使うことがあります。したがって、利用者は直近の明細だけでなく、今後少なくとも1年間は毎月の利用明細を一行一行確認し、少額であっても身に覚えのない請求がないかチェックする必要があります。1円オーソリや、海外サイトでの数百円の決済など、有効性確認のためのテスト決済の可能性がある請求には特に注意が必要です。
フィッシング詐欺への警戒
個人情報(メールアドレス、電話番号、住所)も漏洩しているため、フィッシング詐欺への警戒レベルを最大限に高める必要があります。特に、駿河屋やカード会社、配送業者を装ったSMSやメールには注意が必要です。「配送情報の確認」「カードのセキュリティチェック」「返金手続き」といった名目で偽サイトへ誘導し、新たな情報を入力させようとする手口が予想されます。原則として、メール内のリンクはクリックせず、公式サイトをブックマークから開いて確認する習慣をつけるべきです。
パスワードの変更
駿河屋のアカウントパスワードについては、今回の発表で直接的な漏洩の言及はありませんが、念のため変更することが推奨されます。また、もし駿河屋と同じパスワードを他のECサイトやサービス(Amazon、楽天、Google等)で使い回している場合は、それらすべてに対してパスワード変更を行う必要があります。これは「パスワードリスト攻撃(リスト型ハッキング)」と呼ばれる、流出したIDとパスワードのセットを使って他サイトへのログインを試みる攻撃を防ぐためです。
EC業界における類似の情報漏洩事例
ワコムストアの事例
ペンタブレット大手のワコムが運営する「ワコムストア」においても、旧システムの脆弱性を突かれ、決済システムが改ざんされる事件が2022年に発生しました。この際も、入力されたカード情報が外部へ直接送信されるWebスキミングの手法が用いられ、約15万件の個人情報と数千件のカード情報が漏洩した可能性があるとされました。駿河屋の事例と手口が酷似しており、攻撃者が特定の脆弱性を持つECプラットフォームやミドルウェアを組織的に探索・攻撃している可能性を示唆しています。
博文栄光堂の事例
創価学会関連の仏具などを販売する博文栄光堂のオンラインショップでも、2024年に不正アクセスによるカード情報漏洩が発生しました。ここでもペイメントアプリケーションの改ざんが原因とされ、約5万件の個人情報が流出しました。
これらの事例に共通するのは、「カード情報の非保持化」を行っていたにもかかわらず、決済画面のフロントエンド部分を掌握されることで情報が流出している点です。これは、現在のECセキュリティ対策における最大の死角となっています。
サイバー攻撃のトレンドとサプライチェーン攻撃
2024年から2025年にかけてのサイバー攻撃トレンドとして、サプライチェーン攻撃の高度化が挙げられます。攻撃者は、防御の堅い大手企業のデータベースを直接狙うよりも、その企業が利用しているサードパーティ製のツール、プラグイン、あるいは委託先のシステムを狙う方が効率的であると学習しています。
駿河屋のケースにおける「監視ツール」への攻撃は、まさにこのトレンドを象徴しています。メインのECシステム自体は堅牢でも、その脇にある管理用ツールに脆弱性があれば、そこからドミノ倒しのようにシステム全体が制圧されてしまうのです。
駿河屋.JP情報漏洩事件から学ぶEC事業者への教訓
境界防御の限界
サーバーサイドの防御や非保持化だけでは、クライアントサイドで起きるWebスキミングは防げません。改ざん検知システムの導入やCSP(Content Security Policy)の設定など、フロントエンドの防御が必須です。
管理系ツールのリスク管理
メインシステムだけでなく、監視ツール、ログ収集ツール、マーケティングツールなど、周辺システムの脆弱性管理(パッチ適用、権限管理)を徹底しなければなりません。これらは特権を持つバックドアになり得ます。管理画面へのアクセス制限(IP制限やVPN経由のみの許可)、多要素認証(MFA)の導入、そしてセキュリティパッチの自動適用といった基本的な対策の徹底が不可欠です。
インシデント検知の迅速化
侵入から改ざん検知まで12日間を要した事実を重く受け止め、異常検知の感度向上や、ログ監視のリアルタイム性を強化する必要があります。
まとめ:駿河屋.JP情報漏洩事件の今後
駿河屋.JPにおけるクレジットカード情報漏洩事件は、監視ツールの脆弱性を突いた不正アクセスと、それに続くWebスキミング攻撃によって引き起こされた、国内EC史上でも特筆すべき規模のセキュリティインシデントです。約3万件のクレジットカード情報が、セキュリティコードを含む完全な形で流出した事実は重く、被害者への影響は金銭的なものに留まらず、精神的な不安や長期的な監視負担といった形で長く続くことになります。
駿河屋においては、失われた信頼を回復するために、徹底的なシステム改修と再発防止策の実行、そして透明性の高い情報開示が求められます。クレジットカード決済の再開には、第三者機関による厳格な監査と認定が必要となるため、相当の時間を要するでしょう。
本件を契機として、日本のEC業界全体において、Webスキミング対策の標準化や、サプライチェーンセキュリティの強化が進むことが期待されます。対象期間(2025年7月23日~8月8日)に駿河屋.JPでクレジットカード決済を行った方は、速やかにカード会社へ連絡し、カードの再発行手続きを行うことを強くお勧めします。
コメント