中古・新品通販大手の「駿河屋.JP」で第三者不正アクセスが発生し、クレジットカード情報を含む個人情報が外部へ送信された可能性が公表されました。
駿河屋は8月8日からクレジットカード決済を一時停止し、詳細のFAQも公開しています。
私もどうやら被害者候補(たぶんセーフですが)のようです。
2016年に一度だけ駿河屋に売却したことがあるのですが、「【重要】第三者不正アクセスによる個人情報漏えいとクレジットカード決済停止に関するお詫びとお知らせ」なるメールが届いているんですよ。
今回は駿河屋の個人情報流出から学ぶ被害者側が取るべき事後対応や自衛策を考えて見たいと思います。
駿河屋の不正アクセス事件の概要
まずは今回の話の前提となる駿河屋の不正アクセス事件の概要を見ておきましょう。
何が起きた?
決済画面が不正に改ざんされ、入力したカード情報や氏名・住所・電話・メールなどが第三者のサーバに送られた可能性があるとのこと。
これは俗にWebスキミング(フォームジャッキング)と呼ばれる手口です。
決済画面が不正に改ざんされた時期は駿河屋によると「2025年7/24(木) 1:00頃〜8/4(月) 16:00頃」とのこと。
その間にカード番号を入力したユーザーが被害の対象となり得ます。
漏えいした可能性のある情報(駿河屋公表)
漏洩した可能性がある情報は以下の通り。
個人情報:氏名・住所・郵便番号・電話番号・メールアドレス・領収書の宛名/但し書き
カード情報:カード番号・有効期限・セキュリティコード(CVV)・カード名義・ブランド。
クレジットカードの決済に必要なすべての情報(セキュリティコードまで)が流出しているので、不正利用の可能性はかなり高いですね。。。
データベースは?
顧客DBからの流出は確認されていないとのこと。
あくまで入力時の情報が盗取された事象のようです。
私の場合は2016年に売却しているだけなので顧客DBには載っていますが、決済もしていないのでおそらくセーフと思われます。
公式の動き
8/8にカード決済を一時停止。個人情報保護委員会へ報告、警察へ相談、外部フォレンジック調査を実施予定。
影響顧客へ個別連絡を予定とのこと。
私に来た「【重要】第三者不正アクセスによる個人情報漏えいとクレジットカード決済停止に関するお詫びとお知らせ」というメールは個別連絡ではなく、おそらく一斉送付かとおもわれます。
カード会社も注意喚起を発出。明細の確認と未認識請求時の連絡を案内しています
詳しくはこちらの駿河屋の公式発表を御覧ください。
被害者がまずやるべきこと:事後対応チェックリスト(即日)
該当期間に駿河屋.JPでカード番号を入力した可能性がある方は、次の順で対処しましょう。
クレジットカードの確認・停止/再発行
まずは利用明細を直近2〜3か月分すぐ確認しましょう。
不審利用があればカード裏面の発行会社へ連絡してください。少しでも早いほうが良いです。(24時間受付のカードも多い)。
また、利用停止・クレジットカードの差替え(再発行)を相談しましょう。
CVVまで入力情報が盗取され得る事案のため、期間該当者は差替え相談が安全策。
手続きは各社でオンライン/電話が用意されています
カード利用アラート(都度メール等)をONにして、以後の不審利用を早期検知
パスワード変更(使い回しの洗い出し)
駿河屋に同じパスワードを他サービスで使い回していれば全て変更。
長く・使い回さないが基本ですね。
パスワード管理のアプリや手帳を使うと便利。
駿河屋からの通知の確認となりすましメールの見分け
おそらく駿河屋から今後もメールで連絡があると思いますが、リンクをたどるのは慎重になりましょう。
この混乱を利用したフィッシング詐欺メールが来る可能性もあります。
差出人名やロゴは偽装可能です。
本文リンクを直に押さず、サイトをブックマークから開く。疑わしければフィッシング対策協議会へ通報
公式情報は駿河屋の告知ページ/FAQで確認。
リンクは公式ドメイン(suruga-ya.jp/co.jp)から辿りましょう。
行政・公的窓口への相談(必要に応じて)
必要に応じて行政・公的窓口への相談をしておくのも良いでしょう。
なにかあったときに相談実績を作っておくと有利なケースも。
個人情報保護委員会(PPC):個人情報保護法相談ダイヤル 03-6457-9849。
消費者ホットライン「188」:事業者対応や二次被害の不安など、最寄りの消費生活センターにつながる。
警察相談(#9110)/サイバー相談オンライン:不正利用・詐欺の疑い等。
IPA 情報セキュリティ安心相談窓口:技術的な不安の相談
被害が広がらないための自衛策(今日から定着させる)
2段階認証(多要素認証)を必ずON
主要サービス(メール、SNS、EC、銀行等)で2段階認証を設定。
パスワードが漏れてもログインを防げます。
設定方法ガイドも公開されています。
パスワードマネージャーと使い分け
長く・ユニークなパスワードをツールや手帳で管理。
使い回しゼロが目標。
カードのモニタリングと限度額
カード各社の利用通知メール/アプリ通知をON。
限度額の見直しも一策(高額被害を抑える)。
個人情報を渡す前の判断基準
URLの正当性(ドメイン/証明書)を確認。
メールのリンクは踏まないで公式アプリやブックマークから。
過去の類似事件と今回の違いをざっくり比較して理解を深める
参考までに過去の類似事件との比較をみてみましょう。
| 事件 | 主因(攻撃の型) | 何が影響?(代表例) | 規模感・期間など | 被害者の初動(鉄則) |
|---|---|---|---|---|
| 駿河屋(2025) | 決済画面の改ざん(Webスキミング)。入力時の情報が外部送信された可能性。DB流出は未確認 | 氏名・住所・電話・メール/カード番号・有効期限・CVV 等(購入画面に入力した情報) | 影響期間は2025/7/24 1:00頃〜8/4 16:00頃で駿河屋.JPのカード入力が対象。カード決済を一時停止し調査中。他チャネル | 明細即確認→カード会社に連絡(停止/差替え)。以降の不審利用監視、フィッシング警戒。公式告知はサイトの告知/FAQで確認。 |
| ベネッセ(2014) | 内部不正(委託先元社員の持ち出し) | 名簿情報(氏名・住所・生年月日・電話 等)。カード情報は含まず | 最大約3,504万件。発覚は2014/7/9。公式の事故概要・最終報告あり。 | パスワード使い回しの洗い出し、ダイレクトメールや勧誘への警戒。 |
| Yahoo! JAPAN(2013) | 外部からの不正アクセスでID関連情報を抽出 | ID等(※当時の公表は「最大2,200万ID」抽出の可能性) | 2013/5/17公表。以降も解説記事・当時の幹部インタビューが残る。 | パスワード変更、二段階認証の導入、関連サービスの認証連携を見直す。 |
| LINEヤフー(2023–24) | 委託先のアカウント悪用等を契機に社内システムへ不正アクセス。最終調査で漏えい範囲を更新 | ユーザー・取引先・従業員の各データ(口座情報・カード・トーク内容は公表上含まず) | 2024/2/14に最終調査を公表。以後、PPC(個人情報保護委員会)の勧告・進捗報告が継続。 | パスワード/2FAの徹底、公式の専用ページで対象と対応を確認。怪しい連絡はリンクを踏まず公式から。 |
| 証券会社のアカウント乗っ取り(2025) | フィッシング/情報窃取→不正ログイン。出金先変更やMFA回避を狙うケースも | 保有資産の“勝手な売買”や出金(NISA含む) | 2025/1–7累計で不正アクセス14,069件/不正取引8,111件/売却約3,307億円・買付約2,898億円(金融庁集計)。業界でMFA必須化が加速 | 口座の即時ロック(電話)→出金・取引停止、PW/取引暗証番号総入替+MFA必須、ログイン・出金通知をON。被害は証券会社/警察に速やかに申告。 |
今回の要点:決済画面改ざん=入力時に盗られる型です。
カードCVVまで含むため、該当者は差替え相談が合理的。
一方、駿河屋の顧客DBからの流出は未確認という公表は、使い回しパスワードが直ちに他サービスへ拡散という構造ではない点で、ベネッセやID大量流出型とは性質が違います。
今回の事件から得られる教訓
今回の事件から得られる教訓はたくさんあります。
大手だから安全とは言えない
攻撃者は脆弱なピースを狙います。
委託先・決済ページ・広告配信タグなど「境界外」も含め、Webサプライチェーン全体が狙われます。
ベネッセのケースでは社員が持ち出し、LINEヤフーは委託先が原因だったりします。
ですから大手だから絶対安心なんてことはありません。
「待つ」ではなく「動く」が鉄則
対象者の特定連絡を待つ前に、明細確認→停止/差替え→2FA→通報まで先行しましょう。
これはカード会社・公的機関の一般的な助言とも整合します。
流出はゼロにできない前提で備える
2FA・使い回しゼロ・利用通知・フィッシング警戒を日常の習慣に。
よくあるQ&A
今回の件のよくあるQ&Aもみておきましょう。
駿河屋のいつの注文が対象?
2025/7/24 1:00頃〜8/4 16:00頃にカード番号を入力した購入操作が対象となり得ます。
コンビニ払いや代引のみでカード番号を入れていなければ対象外の可能性が高いです。
カード再発行は必須?費用は?
公表では個別連絡を待つ方針ですが、CVVまで含む盗取の可能性があるため、期間該当者は発行会社に停止/差替えを相談するのが実務的。
補償や再発行費用の扱いは発行会社の規定を確認
駿河屋からのメールは本物?見分け方
公式サイトの告知からリンクを辿る、差出人だけで判断しない、短縮URLや添付に注意。不審ならフィッシング対策協議会へ通報
実店舗や楽天店・ヤフー店は関係ある?
駿河屋.JPのみの事案と公表。楽天市場店・ヤフーショップ・ヤフオク・メルカリ・実店舗は影響なしとのこと。
買い取りで売っただけの方も対象?
今回の主たるリスクは「2025/7/24(木) 1:00〜8/4(月) 16:00」に“駿河屋.JPの購入画面でクレジットカード番号を入力した人”です。買取で売っただけ・上記期間にカード番号を入力していないなら、カード情報の流出リスクは低いと判断できます。
お詫びメールが届いたら流出対象?
駿河屋は公式アナウンスの内容をメールアドレス登録者向け全員に通知しているだけのようです。
そのため、メールが届いたからといって個人情報の流出対象者とは限らないです。
このたび、弊社が運営する「駿河屋.JP」のサーバーが第三者からの不正アクセスを受け、お客様の個人情報が漏えいした可能性があることが判明いたしました
との文言があるので、自分の個人情報も漏れた可能性があると勘違いしやすいですけどね・・・
私も詳細を調べるまで漏れてしまったのかと心配なメールでした。
まとめ
今回は「駿河屋から個人情報流出のお詫びメールが・・被害者が取るべき事後対応と自衛策」と題して個人情報が漏れた際になにをするべきかという話を見てきました。
まずは自分の利用時期の確認をしましょう。
そのうえで直近明細チェック(未認識請求→カード会社へ即連絡)。
必要であればクレジットカードの再発行
パスワード総入替&2FA(使い回しゼロ)。
利用通知・監視設定(カードのメール/アプリ通知をON)
などをすると安心です。
できるだけ早めにやっておくのがおすすめですね。