目次

  1. 不正アクセスと情報漏洩の判明経緯
  2. 漏洩した可能性のある情報と期間
  3. 犯行手口、ペイメントアプリケーションの改ざんか
  4. 駿河屋の対応と今後の対策
  5. 顧客への注意喚起と問い合わせ窓口

 駿河屋の公式サイトなどによると、2025年7月23日に駿河屋は不正アクセスを検知し、システム調査とモニタリングを開始しました。

 調査の結果、8月4日に駿河屋はECサイトのシステムの一部を第三者が不正に改ざんしていることを確認しました。第三者は不正なプログラムを2025年7月24日1時ごろにクレジットカード情報入力画面に設置し、決済時の入力情報を外部へ流出させる状態にしていたといいいます。

 駿河屋は8月4日中に修正・削除を完了させ、ウェブサイトを正常に利用できる状態に戻したと説明しています。

 駿河屋によると、情報漏洩の可能性がある期間は、2025年7月24日1時頃から2025年8月4日16時頃までに「駿河屋.JP」でクレジットカード情報を入力した利用者の情報です。

 「駿河屋.JP」で以下の情報が漏洩した可能性があると判断しました(楽天市場店、ヤフーショップ、ヤフオク、メルカリでの決済には影響なし)。

個人情報

氏名
住所
郵便番号
電話番号
メールアドレス
領収書の宛名、但し書き

クレジットカード情報

カード番号
セキュリティコード
有効期限
カード名義
カードブランド

 今回の漏洩は、第三者がクレジットカード情報入力画面そのものを不正に改ざんしたことによる外部流出であり、駿河屋は決済代行会社からの漏洩を確認していません。また、現時点では、駿河屋は顧客データベースからの情報漏洩も確認していないと報告しました。

 駿河屋の説明からすると、悪意のある第三者が、通販サイトの脆弱性を利用して改ざんし、入力フォームで利用者がクレジットカード情報を入力して確認ボタンを押すと、カード情報が外部のサーバーにも送られてしまうJavaScriptを設置するというペイメントアプリケーションの改ざんである可能性が考えられます。

 駿河屋は監督官庁である個人情報保護委員会へ報告を済ませ、所轄の静岡中央警察署へも相談しています。

 影響拡大防止のため、2025年8月8日にクレジットカード決済を一時停止しました。停止期間中に顧客が利用可能な決済方法として、PayPay、エポスかんたん決済、d払い、au PAY、代金引換、PayPal、Google Pay、ペイジー、銀行振込、現金書留などを駿河屋が案内しています(一部マーケットプレイス対応決済あり)。

 そのうえで、不正アクセスの手口や影響範囲を正確に把握するため、外部の専門調査機関によるフォレンジック調査を実施しており、全容の特定に努めています。

 駿河屋は、顧客に対し、身に覚えのない請求がクレジットカードの利用明細にないか、今一度確認するよう呼びかけています。

 万が一、不審な請求があった場合は、顧客は利用しているカード裏面にカード会社が記載したクレジットカード会社へ直接問い合わせるよう駿河屋が求めています。