株式会社駿河屋は2025年12月4日、同社が運営する通販サイト「駿河屋.JP」に対する第三者からの不正アクセスについて、外部専門家によるフォレンジック調査が完了したことを発表しました。調査の結果、クレジットカード情報30,431件、それに付随する29,932名の個人情報が漏えいした可能性があることが判明しました。
12月4日(木) 駿河屋
第三者不正アクセスに関するフォレンジック調査完了および判明事項についてのお知らせ | 中古・新品通販の駿河屋
発表によりますと、情報漏洩の原因は、同社システムで使用していた監視ツールの脆弱性を突いた不正アクセスによるものです。攻撃者によって決済ページ用のJavaScriptが改ざんされ、顧客が入力した情報が外部に送信される状態となっていました。
漏洩の対象となるのは、2025年7月23日12時50分から同年8月8日までの期間に、同サイトにてクレジットカード決済を利用した顧客です。流出した可能性がある情報は、クレジットカード番号、名義人名、有効期限、セキュリティコードに加え、氏名、住所、電話番号などの個人情報も含まれています。
同社は2025年8月4日にシステムの改ざんを検知し、同日中に修正を行いました。その後、8月8日よりクレジットカード決済の利用を停止し、第三者機関による調査を進めていました。調査は10月10日に完了し、この度、最終的な報告書を受領したことで詳細な公表に至りました。
駿河屋は、情報漏洩の可能性がある顧客に対して、電子メールや書状を通じて個別に連絡を行っています。また、クレジットカードの差し替えを希望する顧客に対しては、再発行手数料の負担が生じないようカード会社に依頼しているとのことです。同社は顧客に対し、利用明細に不審な請求がないか確認するよう呼びかけています。
現在も同サイトでのクレジットカード決済は停止されており、再開についてはセキュリティ対策の実装と安全性の確認が完了次第、改めて案内するとしています。同社は「多大なるご心配とご迷惑をおかけしておりますことを深くお詫び申し上げます」と陳謝するとともに、監視体制の強化や再発防止策を徹底する方針を示しています。
※タイトルと要約は、AI(Gemini)が生成したものをベースにしています。
駿河屋は、ゲーム・古本・DVD・CD・トレカ・フィギュアなどを扱う「メディアリユース(中古売買)」の大手企業です。特に「オタク・ホビー関連」の品揃えの深さに定評があり、マニアックな商材(同人誌、レトロゲーム、マイナーなグッズなど)の取り扱いで圧倒的な知名度を有しています。
中でも大手チェーンが扱いにくい「同人誌」や「古いプラモデル」「アイドル雑貨」などを細かくデータベース化しており、国内外のコレクターから強い支持を得ています。
ラジコン模型の老舗「京商」や、鉄道模型の「カツミ」を傘下に収めており、単なるリサイクルショップに留まらない「総合ホビー企業」としての側面も持っています。
駿河屋は、数千万点に及ぶ中古商品の「適正価格の査定アルゴリズム」や「在庫管理」に独自のノウハウを持っており、一般的なECパッケージでは対応できないため、フルスクラッチ(ゼロからの開発)に近い形で内製化しています。
静岡県の本社および東京支社にエンジニアチームを抱えており、「完全自社開発」を求人等でも強調しています。
クレジットカード情報の処理については、セキュリティの観点から自社で情報を保持せず、外部の「決済代行会社」のシステムを利用しています。
本来であれば、ユーザーが入力したカード情報は、駿河屋のサーバーを通過せず(非通過型)、直接、決済代行会社へ送信される仕組みを採用していました。
今回の不正アクセスは、駿河屋のサイト上に設置されたプログラム(JavaScript)が改ざんされたことで、決済代行会社へ送られるはずの情報が、攻撃者へも送信されてしまったものです。
また、侵入の入口となったのは「監視ツールの脆弱性」とされています。これは自社開発したものではなく、サーバーの死活監視やパフォーマンス監視、あるいはマーケティング分析等のために導入していたサードパーティ製のソフトウェアであったと考えられます。
これまでに公表されたリリース:
8月8日(金)
第三者不正アクセスによる個人情報漏えいとクレジットカード決済停止に関するお詫びとお知らせ
クレジットカード企業からのリリース: 株式会社駿河屋「駿河屋」における不正アクセスによるお客様情報流出について
「駿河屋.JP(suruga-ya.jp)」におけるお客様情報漏えいについて | クレジットカードはセゾンカード
「駿河屋.JP(suruga-ya.jp)」におけるお客様情報漏えいについて
「駿河屋」におけるお客様情報流出の可能性について
「駿河屋」における個人情報流出に関する発表について
