駿河屋で約3万人分のクレカ情報漏洩の実態と危険性

事件概要：何が起きたのか

駿河屋は2025年12月4日、8月に公表していた第三者による不正アクセスについて、フォレンジック調査が完了したと発表しました。調査の結果、2025年7月23日12時50分から8月8日までの約2週間、決済ページのJavaScriptが改ざんされ、入力されたクレジットカード情報が外部に流出していたことが確定しました。

発生の背景と原因

攻撃者は駿河屋の管理画面に何らかの方法で侵入し、決済ページに読み込まれるJavaScriptファイルを改ざん。ユーザーがカード情報を入力するたびに、その内容が攻撃者側のサーバーに送信される仕組みを仕込んでいました。この手口は「フォームジャッキング」や「Magecart攻撃」と呼ばれるもので、近年ECサイトを標的にした事例が急増しています。

関係者の動向とコメント

駿河屋側は8月8日に不正アクセスを検知し即日決済を停止。以降、対象者約29,932名に対してメールおよび書面で個別連絡を行っています。公式発表では「会員の皆様に多大なるご迷惑とご心配をおかけしていることを深くお詫び申し上げます」と謝罪の意を表明しています。

被害状況：約3万人が影響

現時点で不正利用の具体的な被害件数は公表されていませんが、セキュリティコードを含む情報が流出したことで、ネット上での即時決済が可能な状況です。専門家は「悪用されるのは時間の問題」と指摘しており、早急な対応が求められています。

駿河屋・カード会社の対応

駿河屋は以下の対応を表明：

• 対象者への個別連絡（8月8日以降順次）
• カード再発行にかかる手数料を全額負担
• 決済代行会社・警察・個人情報保護委員会への報告

ただし、便乗詐欺の可能性もあるため「駿河屋から連絡が来た」というメールやSMSが届いても、記載されたURLにアクセスせず、必ず公式サイトから問い合わせるよう注意喚起されています。

専門家の見解

セキュリティ専門家は「セキュリティコードが漏洩したケースは極めて悪質。カード会社が即時停止措置を取る可能性が高い」と指摘。また「ECサイト運営企業は、サードパーティスクリプトの監視やサブソースインテグリティ（SRI）の導入が急務」と提言しています。

SNS・世間の反応

X（旧Twitter）では「駿河屋でカード使ってたけどやばい」「セキュリティコードまでって終わってる」「もう駿河屋使えないかも」といった不安や怒りの声が相次いでいます。一部では「再発行費用負担は当然」との厳しい意見も見られます。

今後の見通しと影響

対象期間に利用した方は、カード会社から利用停止・再発行の連絡が来る可能性が高いです。駿河屋の信頼回復には長期間を要する見込みで、同業他社への流出も予想されます。

今日からできる対策

1. 対象期間（7/23～8/8）に駿河屋でカード決済したか確認
2. カード明細を毎日チェック
3. 不審な取引があれば即カード会社に連絡
4. 可能なら今すぐカードを停止・再発行依頼
5. 3Dセキュア対応のカードに切り替え