三恵通販サイトへの不正アクセスによるクレジットカード情報漏えい：国内情報漏洩事例 2025

事象

2025年1月、下着メーカーの株式会社三恵が運営する通販サイトが不正アクセスを受け、最大で約29万2707件の個人情報が流出した可能性があることが明らかになりました。

流出した可能性のある情報

流出の可能性がある情報は以下の通りです。

• クレジットカード情報：カード名義人名、カード番号、有効期限、セキュリティコード
• 個人情報：メールアドレス、郵便番号、電話番号

これらの情報は、2019年12月27日から2024年5月15日の間に旧サイトでクレジットカード決済を利用した71,943人分に該当します。また、カード情報を除く氏名などの個人情報が流出した可能性がある利用者を含めると、合計で約29万2707人分に上るとされています。

不正アクセスの原因

同社の説明によれば、旧サイトのシステムに存在した脆弱性を悪用した第三者による不正アクセスが原因とされています。具体的には、ペイメントアプリケーションの改ざんが行われ、ユーザーが入力したクレジットカード情報が盗み取られた可能性があります。この手口は、ECサイトのカード入力フォームを改ざんし、ユーザーが入力中の情報を盗み取るもので、10年以上前から存在する手法ですが、依然として被害が後を絶ちません。

対応策と注意喚起

三恵は、問題が発覚した旧サイトを既に閉鎖し、新たな情報漏洩は発生しない状況にあると説明しています。現在のサイトは、2024年5月15日以降、旧サイトとは独立した新しいシステムで運営されており、安全性が確認されています。しかし、クレジットカードによる決済は一時的に停止し、他の決済方法で運用しています。利用者に対しては、クレジットカードの利用明細を確認し、不正利用の有無をチェックするよう呼びかけています。また、他のサイトで同じログインIDやパスワードを使用している場合は、速やかに変更することが推奨されています。

ECサイト運営者への警鐘

この事例は、ECサイト運営者にとってセキュリティ対策の重要性を再認識させるものとなりました。特に、ペイメントアプリケーションの改ざんによるクレジットカード情報の漏洩は、依然として多くのECサイトで発生しています。2024年には、ECサイト事業者の約95％が情報漏洩の被害を受け、そのうちクレジットカード情報の漏洩を引き起こした企業は26社にのぼり、漏洩件数は合計約557,578件に達しています。

ECサイト運営者は、セキュリティコードの利用や3Dセキュア（本人認証サービス）の導入、不正検知システムの導入など、多層的なセキュリティ対策を講じることが求められます。また、EMV 3-Dセキュアの導入率は2024年時点で62.1％となっており、2025年3月の義務化に向けて普及が加速しています。

まとめ

今回の三恵通販サイトにおける不正アクセス事件は、ECサイト運営者および利用者双方に対して、セキュリティ対策の重要性と自己防衛の必要性を強く示唆しています。運営者は最新のセキュリティ対策を講じるとともに、利用者も自身の情報を守る意識を持つことが重要です。

参考

公式サイト: https://www.sankei-lingerie.com/