駿河屋がサイバー攻撃被害を公表｜カード情報などの流出可能性とその背景

2025年8月、中古販売大手「駿河屋.JP」を運営する株式会社駿河屋が、外部からの不正アクセスによってクレジットカード情報を含む顧客情報が漏えいした可能性があると公表しました。攻撃の手口は、ECサイト運営において警戒すべき典型的な「Web改ざん」によるスキミング型と推定されます。

本記事では、今回の事件の全容を整理するとともに、技術的な背景や企業の対応、ユーザーへの影響、そして今後の教訓について詳しく解説します。ECサイトを利用するすべての人にとって、他人事ではない重要なインシデントです。

不正アクセスの概要｜ECサイトが狙われた経緯と発表のタイミング
被害の内容と影響｜漏えいの可能性がある個人情報とは
- 流出の可能性がある情報
- 影響を受けた可能性がある利用者
技術的な背景｜スキミング型改ざんとみられる攻撃手法
- サイト改ざんによる情報搾取の仕組み
- 攻撃経路の詳細は調査中
駿河屋の対応｜利用者保護と再発防止に向けた措置
今後の再発防止策と教訓｜企業が取るべき対応とは
利用者が取るべき対策とは？
まとめ｜すべてのEC利用者と企業が向き合うべき課題

不正アクセスの概要｜ECサイトが狙われた経緯と発表のタイミング

出典：https://www.suruga-ya.jp/

2025年7月下旬、駿河屋の決済システムにおいて不審なアクセスの兆候が検知されました。運営会社は調査を開始し、8月4日には一部のサイト改ざんが確認され、即座に修正対応を実施。その後、8月8日に公式サイトにて「第三者の不正アクセスによる個人情報漏えいの可能性」を正式に公表しました。

攻撃を受けたのは「駿河屋.JP」のクレジットカード決済システムであり、入力された情報が第三者に送信される恐れがあると説明されています。

▼駿河屋　ニュースリリース

第三者不正アクセスによる個人情報漏えいとクレジットカード決済停止に関するお詫びとお知らせ

ゲーム・古本・DVD・CD・トレカ・フィギュア通販ショップの駿河屋は、豊富な品揃え！最新から懐かしのレトロゲームまでなんでもあります！ぜひご利用ください！！ゲーム・古本・DVD・CD・トレカ・フィギュア通販ショップの駿河屋

被害の内容と影響｜漏えいの可能性がある個人情報とは

このセクションでは、実際に流出した可能性があるデータの種類や、対象となるユーザーの範囲、影響について詳しく見ていきます。

流出の可能性がある情報

駿河屋によると、以下の情報が外部に送信された可能性があります。

氏名
郵便番号・住所
電話番号
メールアドレス
クレジットカード情報（カード番号、有効期限、名義、セキュリティコード）

特にクレジットカード情報については、決済時に入力された全情報が対象とされており、非常に深刻な情報漏えいの可能性が示唆されています。

影響を受けた可能性がある利用者

不正アクセスがあったと推定される期間に、「駿河屋.JP」でカード決済を利用したすべての顧客が対象となります。具体的な件数は現在も調査中ですが、駿河屋は大規模ECサイトであり、影響範囲は広範囲に及ぶと見られています。

技術的な背景｜スキミング型改ざんとみられる攻撃手法

ここでは、どのような手法で情報が盗み取られたのか、攻撃の技術的な特徴を解説します。

サイト改ざんによる情報搾取の仕組み

攻撃者は、駿河屋のECサイトの一部に不正なプログラムを埋め込んだとみられています。これにより、ユーザーが入力したクレジットカード情報が、攻撃者のサーバーへと転送されていた可能性があります。

この手法は「Webスキミング」や「フォームジャッキング」とも呼ばれ、かつては「Magecart」として複数の海外ECサイトで被害が出た手法と類似しています。

攻撃経路の詳細は調査中

現時点では、侵入に利用された具体的な脆弱性（ゼロデイ、XSS、管理画面不正侵入など）は特定されていません。駿河屋は、外部のセキュリティ調査機関と連携し、デジタルフォレンジックによる詳細な調査を進めています。

駿河屋の対応｜利用者保護と再発防止に向けた措置

事態の発覚後、駿河屋は利用者保護と原因究明のため、複数の対策を講じています。

決済手段の制限と注意喚起

2025年8月8日より、駿河屋.JPでのクレジットカード決済は全面停止となりました。代替手段として、PayPay、d払い、au PAY、銀行振込、代引きなどが案内されています。

また、被害の可能性がある顧客に対しては、カード会社への連絡と明細の確認、不審利用時の相談を呼びかけています。

関係機関への報告と捜査協力

駿河屋は、以下の機関へ適切な報告・連携を行っています。

個人情報保護委員会（法令に基づく報告）
所轄警察（静岡中央警察署）への相談・捜査協力

今後、調査状況に応じて追加の報告が行われる予定です。

専用窓口の設置

本件に関する問い合わせ対応のため、専用メール窓口（info2025@suruga-ya.co.jp）が設置されています。電話窓口も準備中で、開設次第公式サイト上で案内されるとのことです。

今後の再発防止策と教訓｜企業が取るべき対応とは

駿河屋は、再発防止とセキュリティ体制の強化に向けて、以下の取り組みを進めています。

外部ベンダーによるコード監査と脆弱性診断の実施
Webシステムの構成見直しと不正アクセス監視の強化
社内セキュリティ教育の徹底と開発プロセスの見直し

特に、Web決済を扱うECサイトにおいては、セキュリティ対策が売上と信頼性を直接左右します。サイバー攻撃の手口は年々高度化しており、「想定外」は許されない時代に突入しています。

利用者が取るべき対策とは？

企業側の対応に加えて、利用者も以下のような自衛策を講じることが重要です。

クレジットカードの利用明細を定期的に確認する
不審な請求があればカード会社に速やかに連絡
不正利用があった場合は再発行や請求取消を依頼
メールやSMSの不審なリンクを開かない

被害が発覚してからでは遅いため、普段からの情報管理意識が最善の防御策です。

まとめ｜すべてのEC利用者と企業が向き合うべき課題

今回の駿河屋におけるサイバー攻撃は、「大手であってもセキュリティ侵害は起こりうる」という現実を私たちに突きつけました。特に、クレジットカード情報という機微な情報が狙われた点において、ECサイト全体が見直しを迫られる契機となるはずです。

企業は信頼を守るために継続的な対策と情報公開が求められ、ユーザーも「自己防衛意識」を持つことが不可欠です。
デジタル社会におけるリスク管理は、もはや一部の専門家だけの課題ではありません。今後も最新のサイバーセキュリティ動向を注視し、安心してネットサービスを使える環境づくりが求められています。