「駿河屋」に不正アクセス、カード情報が漏えい。改ざんで決済時に入力した情報が外部に流出する状態に
リユース商品などを扱う駿河屋は8月8日、ECサイト「駿河屋.JP」が第三者による不正アクセスを受け、クレジットカード情報を含む個人情報が漏えいしたと発表した。同日から、クレジットカード決済の利用を停止、ID決済や代金引換などは利用できる。決済代行会社からの漏えいは確認されていないとしている。
8月4日にECサイトのシステムの一部が第三者によって不正に改ざんされていることを確認。調査の結果、改ざんにより顧客が決済時に入力した情報が外部に流出する状態になっていたことが判明した。
具体的には、不正プログラムにより利用中の顧客が購入画面で入力したクレジットカード情報および個人情報が、第三者の管理するサーバへ送信される事象が発生していたことを確認している。
「駿河屋.JP」では、クレジットカード入力画面で入力された情報は駿河屋のサーバーを介さず、直接決済代行会社へ送信する仕様で、クレジットカード情報は一切保持していないという。
駿河屋は監督官庁である個人情報保護委員会へ報告、警察へ相談を実施。決済代行会社との規定に基づき8月8日にクレジットカード決済を停止した。なお、2022年4月1日施行の改正個人情報保護法により、個人データの漏えいなどについて、個人の権利利益を害する恐れがある際は、個人情報保護委員会への報告、本人への通知が義務化されている。
なお、駿河屋は7月23日に不正アクセスを検知し、同日から各種調査、モニタリングを実施していたという。8月4日にシステムの一部が不正に改ざんされていることを検知し、同日中にシステム修正。その後、ECサイトは問題なく使用できることを確認した。モニタリングは継続しており、異常がないことを確認しているという。
今回の件により漏えいした可能性のある個人情報は次の通り。
- 氏名
- 住所
- 郵便番号
- 電話番号
- メールアドレス
- 領収書の宛名、但し書き
- クレジットカード番号
- セキュリティーコード
- 有効期限
- カード名義
- カードブランド
不正アクセスによる情報漏えいの可能性のある期間は7月24日(木)午前1時頃から2025年8月4日(月)午後4時頃までに、「駿河屋.JP」でクレジットカード番号を入力した顧客の情報。現時点で顧客の個人情報を保持している顧客データベースからの情報漏えいは確認できていないとしている。
なお、クレジットカード停止期間中に利用可能な決済方法は次の通り。
- PayPay(マーケットプレイスの対応決済)
- エポスかんたん決済
- d払い(マーケットプレイスの対応決済)
- au PAY
- 代金引換
- PayPal
- Google Pay
- ペイジー
- 銀行振込
- 現金書留
