チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「通販でカードを使ったら、番号もセキュリティコードも盗まれるんでしゅか?」
「身に覚えのない請求が来たらどうすればいいのか、分からなくて不安なんでしゅ……」
チップス大好きな温泉湯どうふを買っただけなのに、カード情報まで危ないなんて怖いんでしゅ……。
ボス通販サイトの改ざんは利用者には見えにくい。だが仕組みを知れば、被害に気づいて動ける。順に見ていくぞ。
本記事では、佐嘉平川屋のECサイトで起きた不正アクセスについて、流出の範囲と利用者・運営者が取るべき行動を整理します。
読み終える頃には、通販サイトのカード情報漏えいに冷静に対処する手順がつかめます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
まず何が漏れた可能性があるのかを整理します。
佐嘉平川屋は2026年6月15日、自社のオンラインショップが不正アクセスを受け、個人情報が漏えいした可能性があると公表しました。
きっかけは3月9日にカード会社から寄せられた漏えい懸念の連絡で、同社は同日にカード決済を停止しています。
第三者調査機関の調査の結果、決済機能が改ざんされ、入力されたクレジットカード情報が抜き取られていた恐れがあると判明しました。
対象となる利用者には、メールや書状で個別に連絡しています。
流出した可能性のある情報を整理すると以下のとおりです。
| 区分 | 内容 |
|---|---|
| カード情報 | 名義人名・カード番号・有効期限・セキュリティコード(最大5,783名分) |
| その他の個人情報 | 氏名・生年月日・住所・電話番号・メールアドレス(最大30,170名分) |
| カード情報の対象期間 | 2025年3月21日〜2026年3月10日 |
| 検知のきっかけ | カード会社からの連絡(2026年3月9日) |
チップスセキュリティコードまで盗まれるって、かなりまずいんじゃないでしゅか?
ボスああ。本来カード会社が保存を禁じている情報まで抜かれた。入力した瞬間に横取りされた可能性が高い。次でその仕組みを見るぞ。
なぜカード情報が抜かれたのか、その手口と対策を掘り下げます。
今回の原因は、サイトの脆弱性を突いて決済の仕組みが改ざんされたことです。
攻撃者はECサイトの入力画面に不正なプログラムを仕込み、利用者が打ち込んだカード情報をその場で盗み取ります。
この手口はWebスキミングと呼ばれ、見た目は正規のサイトのままなので利用者は気づきにくいのが厄介です。
運営者は、カード情報を自社で持たない設計や、改ざんを検知する仕組みで防ぐ必要があります。
運営者と利用者がそれぞれ取るべき行動は次のとおりです。
チップス自分でもカードの明細をこまめに見ることが大事なんでしゅね。
ボスそうだ。佐嘉平川屋は再発行の手数料を負担すると表明している。気づいたら遠慮なくカード会社に動いてもらえ。
佐嘉平川屋の事案では、決済フォームの改ざんによってセキュリティコードを含むカード情報が抜かれた可能性があります。
被害に気づきにくいWebスキミングだからこそ、運営者はカード情報を持たない設計を、利用者は明細の確認を習慣にすることが二次被害を防ぎます。
同社はカード会社や警察、個人情報保護委員会と連携して対応を進めています。
ECサイトの決済やカード情報を守る最前線で力を発揮したい方は、ぜひセキュリティフリーランス案件に目を向けてみてください。
参考: 佐嘉平川屋「不正アクセスによる個人情報漏えいのお詫びとご報告」
参考: 佐賀新聞「武雄市の佐嘉平川屋に不正アクセス クレジットカード情報5783人分流出か」
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
