ECサイトへのサイバー攻撃による国内クレジットカード情報漏えいインシデントまとめ/2025年3月公表分

概要

• 2025年3月に公表されたクレジットカード情報漏えいインシデントのまとめです

notes

• この月間に公表したものなので、各インシデントごとの被害発生期間は別です
• どの程度のインシデントと被害が月ごとに発生しているかの備忘録であり報道記事ではないので、原則として当事者法人等の個別具体的名称は書きません
• 被害に該当可能性のある人には事業者等より個別に連絡があると思われます

当月の被害の概要

• 3月は、5件のクレジットカード情報漏えいインシデントが国内で公表されました
• 合計で、25,216件ほどのクレジットカード情報について漏えいの可能性があるそうです

当月のインシデント

1. 飲食店舗用品販売サイト

被害について

• 2,460件のセキュリティコードを含むクレジットカード情報漏えいの可能性があります
• クレジットカード情報の漏えい期間は、2021年5月26日～2024年7月19日とのことです
• 9,120件の個人情報の漏えいの可能性があります

経緯・原因等

• 2024年7月17日に、警察より漏えいの可能性の連絡を受けてインシデントが発覚したそうです
• 割賦販売法における、クレジットカード情報非保持化タイプと推測されます
• 原因は、当該サイトの脆弱性の放置と推測されます
• また、当該サイトの管理運用においてセキュリティ侵害を検知する仕組みが不足していたか存在していなかったため、被害発生期間が長期化した原因につながったものと思われます

2. 食品販売サイト

被害について

• 824件のセキュリティコードを含むクレジットカード情報漏えいの可能性があります
• クレジットカード情報の漏えい期間は、2021年4月20日～2024年8月22日とのことです
• 4,142件の個人情報の漏えいの可能性があります

経緯・原因等

• 2024年7月17日に、警察より漏えいの可能性の連絡を受けてインシデントが発覚したそうです
• 割賦販売法における、クレジットカード情報非保持化タイプと推測されます
• 原因は、当該サイトの脆弱性の放置と推測されます
• また、当該サイトの管理運用においてセキュリティ侵害を検知する仕組みが不足していたか存在していなかったため、被害発生期間が長期化した原因につながったものと思われます

3. 食品販売サイト

被害について

• 6,929件のセキュリティコードを含むクレジットカード情報漏えいの可能性があります
• クレジットカード情報の漏えい期間は、2024年8月20日～2024年12月2日とのことです
• 103,006件の個人情報の漏えいの可能性があります

経緯・原因等

• 2024年11月29日に、利用者より表示崩れ不具合の連絡を受けて調査した結果、同年12月2日にインシデントがあることを発見したそうです
• 割賦販売法における、クレジットカード情報非保持化タイプと推測されます
• 原因は、当該サイトの脆弱性の放置と推測されます
• 今回は偶然に、サーバー攻撃の結果として表示崩れ不具合という外形的変化が発生し利用者に発見されたため、一般的なケースと比べて被害の認知が比較的早くなり被害期間がおよそ10分の1以下に短縮されました。発見が遅れ一般的なケースと同程度の被害期間になっていた場合は被害規模が10倍以上になっていた恐れがあります

4. 緑茶等販売サイト

被害について

• 13,094件のセキュリティコードを含むクレジットカード情報漏えいの可能性があります
• クレジットカード情報の漏えい期間は、2024年6月5日～2024年12月5日とのことです
• 73,684件の個人情報の漏えいの可能性があります

経緯・原因等

• 2024年12月4日に、当該サイトを保有していたシステム会社より漏えいの可能性の連絡を受けてインシデントが発覚したそうです
• 割賦販売法における、クレジットカード情報非保持化タイプと推測されます
• 原因は、当該サイトの脆弱性の放置と推測されます
• システム会社が被害を発見したため、一般的なケースと比べて被害の認知が比較的早くなり被害期間がおよそ5分の1以下に短縮されました。発見が遅れ一般的なケースと同程度の被害期間になっていた場合は被害規模が5倍以上になっていた恐れがあります

5. スポーツ用品等販売サイト

被害について

• 1,909件のセキュリティコードを含むクレジットカード情報漏えいの可能性があります
• クレジットカード情報の漏えい期間は、2020年10月10日～2024年11月19日とのことです
• 16,795件の個人情報の漏えいの可能性があります

経緯・原因等

• 2024年11月18日に、外部機関より漏えいの可能性の連絡を受けてインシデントが発覚したそうです
• 割賦販売法における、クレジットカード情報非保持化タイプと推測されます
• 原因は、当該サイトの脆弱性の放置と推測されます
• また、当該サイトの管理運用においてセキュリティ侵害を検知する仕組みが不足していたか存在していなかったため、被害発生期間が長期化した原因につながったものと思われます

感想

• 当月のインシデント件数や規模は、近年の傾向としては平均的あるいはやや多めといえます
• インシデントの一部で、発見と対処が早いケースが見られました

2024年と2025年のインシデント累計件数の推移

2024年と2025年のクレジットカード漏えい累計件数の推移

おまけ

「クレジットカード・セキュリティガイドライン」

• 経産省：「クレジットカード・セキュリティガイドライン [5.0版]」
• (一社)日本クレジット協会:関連資料

IPA(独立行政法人情報処理推進機構)

• ECサイト構築・運用セキュリティガイドライン

個人情報保護委員会

• 個人情報保護委員会
  • 個人情報保護委員会 - 個人情報保護法関連法令・ガイドライン等
  • 個人情報保護委員会 - 個人情報保護法相談ダイヤル
  • 個人情報保護委員会 - 漏えい等の対応とお役立ち資料

割賦販売法関連

• 割賦販売法
• 割賦販売法施行令
• 割賦販売法施行規則
• 経産省サイト - 割賦販売法

経産省

• クレジットカード・セキュリティ官民対策会議
  (2024年4月9日〜)
• クレジットカード決済システムのセキュリティ対策強化検討会
  (2022年8月4日〜2023年1月20日)
  • クレジットカード決済システムのセキュリティ対策強化検討会 報告書
  • クレジットカード決済システムの更なるセキュリティ対策強化に向けた主な取組のポイント

フッター

仲間を募集しています！

ARIではエンジニア・ITコンサルタント・PM職全方位で仲間を募集しております。
カジュアル面談、随時受付中です！
ご興味ある方はこちらをご覧ください。