ECサイト情報漏洩事例【2025年最新版】原因と対策を徹底解説！明日は我が身、あなたのサイトは大丈夫？

他人事ではない！国内ECサイトの情報漏洩・不正アクセス最新事例10選

まずは、近年国内で実際に発生した情報漏洩・不正アクセスの事例を見ていきましょう。
^{どのような企業が、どのような手口で、どれほどの被害を受けたのかを知ることは、自社のリスクを把握する第一歩となります}。
各事例の詳細を、一つずつ詳しく解説します。

【事例1】ペイメントアプリケーション改ざん：一撃オフィシャルショップ（被害7,455件）

空手関連用品などを扱う「一撃オフィシャルショップ」で、長期間にわたるクレジットカード情報の漏洩が発生しました。
この事件の原因は、^{ECサイトの旧システムに存在した脆弱性を悪用され、決済処理を行うプログラム（ペイメントアプリケーション）が改ざんされたこと}でした。
その結果、顧客が入力したカード情報が、正規の決済代行会社だけでなく、攻撃者のサーバーにも送信される状態が約3年以上も続いていたのです。

漏洩した情報はカード情報だけでなく、氏名や住所、電話番号などの個人情報も含まれていました。
同社はカード決済の停止や第三者機関による調査、警察への被害申告など、多岐にわたる対応に追われ、調査費用だけでも約500万円にのぼったとされています。
この事例は、^{システムの脆弱性を放置することの危険性と、その結果生じる金銭的・信用的損害の大きさを示しています}。

【事例2】ペイメントアプリケーション改ざん：e-ながさきどっとこむ（被害18,746件）

長崎県物産振興協会が運営する特産品 EC サイト「e-ながさきどっとこむ」で、第三者がサイト内プログラムと決済用ペイメントアプリを改ざんし、2021年3月10日～2024年5月22日 にカード決済を行った 18,746名 のカード番号・名義人・有効期限・セキュリティコードが漏えいした可能性が判明しました。また、会員情報60,350件 と 届け先情報78,840件（計139,190件）も流出した恐れがあります。

事故の経緯

2024年5月21日 長崎県警から「サイト改ざんと個人情報漏えい懸念」の連絡を受領。
5月22日 EC サイトを停止し、第三者フォレンジックを開始。
6月22日 調査完了。改ざん期間と漏えい範囲を特定。
8月7日 最終報告を公表し、被害内容と再発防止策を公式サイトで発表。

被害内容

区分件数主な項目クレジットカード情報18,746 件カード番号・名義人・有効期限・セキュリティコード会員情報60,350 件氏名・住所・電話番号・メールアドレスほか届け先情報78,840 件氏名・住所・電話番号など

対応と補償

サイト停止・カード決済遮断（5月22日）。
カード会社連携のモニタリングと、希望者へのカード再発行手数料を協会負担。
個別メール／書面通知を順次送付し、利用明細確認を呼び掛け。
個人情報保護委員会へ速報（5月24日）と続報提出、長崎署へ被害届（5月31日）。
システム刷新・WAF導入・24時間監視・定期脆弱性診断など再発防止策を実施し、サイト再開方針を検討中。

本件は「プログラム改ざん＋ペイメントアプリ改ざん」が約3年以上放置された結果、大規模なカード情報と会員情報が同時に流出した典型例です。^{早期発見のためには}^{改ざん検知機構の常時稼働}^と^{外部通報を待たないログ監査}^{が不可欠であること}が浮き彫りになりました。

【事例3】ランサムウェア侵入：ANGLERSオンラインショップ（被害約200,000件）

釣具量販チェーン「アングラーズ」を運営する 株式会社大藤つり具 は、^{社内 VPN 装置を突破口としたランサムウェア攻撃を受け、サーバー内データが暗号化されました}。攻撃を受けた 2023 年 12 月 13 日 時点では侵害を把握できず、外部フォレンジックで暗号化ファイルに顧客データが含まれていたことが確認されています。流出したおそれがあるのは、2018 年 3 月～2023 年 11 月 にダイレクトメールを送付した顧客 約 20 万件 の会員番号・氏名・住所・生年月日・電話番号などです（カード情報や要配慮個人情報は含まず）。

発覚から公表までの経緯

2023-12-13 侵害活動を検知しサーバーが暗号化。VPN 装置の悪用が原因と推定。
2023-12-13～2024-01-25 外部調査会社と連携し被害範囲を特定。
2024-01-26 調査完了とともに顧客向け謝罪・報告を公表。個人情報保護委員会・所轄警察へは発生直後に速報済み。

取った対応と再発防止策

サイト決済の即時停止と暗号化サーバーの隔離。
対象顧客への個別郵送通知と問い合わせ窓口の設置。
カード会社・信販会社と連携し不正利用のモニタリングを強化。
VPN 機器の更新と多要素認証（MFA）必須化、加えて 24 時間監視／定期脆弱性診断 を導入。
「不確定情報による混乱回避」を理由に、外部調査結果が出そろうまで詳細公表を控えたことを謝罪し、今後は初報 72 時間ルールを社内規程に明記。

ランサムウェア被害では「暗号化＝持ち出しなし」と決めつけられない点が課題となります。^本件は^{VPN 機器のゼロトラスト化}^、^{ログ監査の即日実施}^、そして^{第三者調査の迅速な着手}^{が不可欠であることを示した事例}です。

【事例4】アプリケーションロジック悪用：SNKRDUNK（被害約2,750,000件）

スニーカー・ストリートウェア CtoC マーケットプレイス「SNKRDUNK」を運営する 株式会社 SODA は、2022 年 6 月 7 日 にデータベースで異常を検知。調査の結果、攻撃者が 想定外のレスポンスを返す API エラー処理 を突く不正リクエストを大量送信し、アプリケーションロジックの欠陥を悪用して DB に保存されていた顧客データを抽出していたことが判明しました。漏えいした恐れがあるのは 会員情報 2,753,400 件（氏名・住所・電話番号・生年月日・購入履歴・ハッシュ化パスワードなど）と 銀行口座情報 10 件。クレジットカード番号は保管していなかったため対象外です。発覚から わずか１週間後の 6 月 15 日 に第一次報告を公表し、個別メール／SMS／郵送でユーザーへ通知、専用問い合わせ窓口 を即日開設しました。

被害確認後は (1) 不正アクセス元を遮断し レスポンスに機密情報を含めない ようコード修正、(2) WAF 導入と監視強化、(3) 外部専門家による 脆弱性診断と静的解析の開発フロー組込み を完了（6 月 10 日時点）、(4) 個人情報保護委員会・警察へ速報 を提出するなど迅速な対応を実施。以降も再発防止策と追加調査を継続し、8月の続報では「現時点で不正流用は確認されていない」と報告しています。

【事例5】XSSフォーム改ざん：健康いきいきライフスタイル（被害5,193件）

健康食品通販サイト「健康いきいきライフスタイル」を運営する 株式会社ファインエイド は、サイトに内在していた XSS 脆弱性を突かれ、決済フォームに不正スクリプトを挿入されました。その結果、2021 年 1 月 5 日～2023 年 11 月 15 日 にカード情報を入力した 5,193 名 分のカード番号・名義人・有効期限・セキュリティコードが攻撃者サーバーへ転送され、加えて氏名・住所・電話番号・メールアドレスなど会員情報も窃取された可能性があります。

事故の経緯と影響

2023 年 12 月 11 日：カード会社から「流出懸念」の照会を受け事態を把握。
即日クレジットカード決済を停止し第三者フォレンジックを開始。
調査で上記漏えい期間と被害範囲を特定。
2024 年 1 月 31 日 に第一次報告を公表、翌 2 月 2 日 に詳細を更新して発表。

取った対策

脆弱性修正と新環境への全面移行：旧決済フォームを破棄し、CMS／ライブラリを最新化。
カード会社と連携した不正利用モニタリング と、希望者への カード再発行手数料の事業者負担。
個人情報保護委員会・警察への速やかな報告、影響ユーザーへの個別通知と注意喚起メール送付。
WAF 導入・24 時間監視・定期脆弱性診断 を含む再発防止策を実施。

本件は「XSS → 決済フォーム改ざん → 長期カード情報流出」という典型的な攻撃チェーンであり、^{フォーム入力時スクリプト検証や CSP（Content Security Policy）設定、サプライチェーンを含めた脆弱性管理の重要性を物語る事例}です。

【事例6】XSS＋ペイメントアプリ改ざん：JF おさかなマルシェギョギョいち（被害11,844件）

全国漁業協同組合連合会（全漁連）が運営する海産物 EC サイト「JF おさかなマルシェギョギョいち」で、サイト構築サービスの クロスサイトスクリプティング（XSS）脆弱性 を突いた不正アクセスが発生。攻撃者は不正ファイルを設置し、決済処理プログラムを改ざんしてカード情報を外部サーバーへ転送していました。流出した恐れのある情報は クレジットカード情報 11,844 件（番号・有効期限・セキュリティコード） と 会員情報 21,728 件（氏名・住所・電話番号など） です。

漏えい期間：2021 年 4 月 22 日～2024 年 5 月 14 日
発覚経緯：2024 年 5 月 14 日、警視庁から「プログラム改ざんと情報漏えい懸念」の連絡を受け同日サイトを閉鎖。第三者フォレンジックの完了後、8 月 19 日に調査結果を公表しました。
被害拡大防止と補償
1. カード会社と連携し 不正利用モニタリング を継続。
2. 対象カードの 再発行手数料を全漁連負担 とし、希望者へ案内。
3. 個人情報保護委員会（5 月 15 日）と警視庁（5 月 14 日）へ速やかに報告。
4. WAF 強化、24 時間監視、定期脆弱性診断を含む再発防止策を実施。
サイト閉店：被害の深刻さを受け、同店は 2024 年 10 月 7 日に閉店 する方針を表明。商品の販売は JA 全農が運営する「JA タウン」の支店へ移管しています。

本件は 「XSS → 決済スクリプト改ざん → 長期カード流出」 という典型的な攻撃チェーンを示す事例で、^{SaaS 型 CMS や外部サービスの脆弱性管理を怠った場合のリスクの大きさ}を浮き彫りにしています。

【事例7】ペイメントアプリ改ざん：東京ヴェルディ公式オンラインストア（被害2,726件）

Jリーグクラブ・東京ヴェルディが運営する公式グッズ通販サイトで、開発管理者アカウントが乗っ取られ、決済用プログラムを不正改ざんされる事故が発生しました。

漏えい期間：2023年8月22日～12月20日。この間にクレジットカード決済を行った2,726名のカード名義人・番号・有効期限・セキュリティコードが攻撃者サーバーへ転送された可能性があります。
発覚経緯：2023年12月21日、カード会社から「不正利用懸念」の照会を受け同日中にサイトを停止。第三者フォレンジックを開始し、2024年1月16日に改ざんと漏えい範囲を確定しました。
公表：調査精査とカード会社調整を経て2024年2月6日に第一次報告、詳細を反映した更新版を6月25日に公開。公表が遅れた理由として「不確定情報による混乱回避」を挙げています。
原因：開発管理者アカウントへ不正アクセス→ペイメントアプリ改ざん→カード情報を外部送信するスクリプトが埋め込まれた。
対処と補償
1. カード決済停止・サイト閉鎖（12月21日）
2. 個人情報保護委員会へ速報（12月22日）および続報提出、所轄警察へ被害申告（12月25日）
3. カード会社と連携した 不正利用モニタリング と カード再発行手数料の全額クラブ負担
4. WAF強化・24時間監視・定期脆弱性診断を含む再発防止策を実装し、改修完了後にサイトを再開。

本件は、^{管理者アカウント防御と決済アプリ改ざん検知体制の重要性を示す典型例}です。特に SaaS 管理権限の多要素認証（MFA）・最小権限運用、改ざん検知型WAFの導入、インシデント初報72時間ルールの社内徹底が必須であることが再認識されました。

【事例8】ペイメントアプリ改ざん：マルカワみそ公式サイト（被害5,447件）

有機味噌の製造販売を行う「マルカワみそ」の EC サイトが第三者による不正アクセスを受け、2023 年 3 月 11 日～11 月 13 日にクレジットカード決済を行った利用者 5,447 名（一部リリースでは 4,851 名）分のカード番号・名義人・有効期限・セキュリティコードが漏えいし、サイト開設以来の購入・登録者 89,673 名の氏名・住所・電話番号・メールアドレスなども窃取された可能性があることが判明しました。攻撃者はサイト内の脆弱性を突いて決済プログラム（ペイメントアプリケーション）を改ざんし、正規決済フローに見せかけてカード情報を攻撃者サーバーへ転送していたとみられています。

事態は2023 年 11 月 6 日、カード会社から「流出懸念」の照会を受けたことで発覚。同日中にカード決済を停止し第三者フォレンジックを開始、12 月 20 日に漏えい期間を特定しました。公表は調査結果を精査した後の2024 年 4 月 2 日。個人情報保護委員会へは 11 月 6 日、越前警察署へは 11 月 8 日に報告を済ませ、2024 年 2 月 14 日には被害届も提出しています。対応として (1) カード会社連携による不正利用モニタリング、(2) 希望者のカード再発行手数料を事業者負担、(3) サイトの脆弱性修正・WAF 強化・24 時間監視・定期診断といった再発防止策を実施しています。

【事例9】ペイメントアプリ改ざん：タリーズオンラインストア（被害52,958件）

コーヒーチェーン「タリーズコーヒージャパン」が運営する通販サイトで、決済用プログラム（ペイメントアプリケーション）が第三者に改ざんされ、2021 年7 月20 日～2024 年5 月20 日の間にクレジットカード決済を行った52,958 名分のカード番号・名義人・有効期限・セキュリティコードが流出した可能性が判明しました。さらに、2020 年10 月1 日～2024 年5 月23 日に会員登録した92,685 名の氏名・住所・電話番号・生年月日・メールアドレス・ログイン ID／パスワード・配送先情報も窃取された恐れがあります。

発端は2024 年5 月20 日、警視庁から「利用者カード情報の漏洩懸念」連絡を受けたことでした。同日中にカード決済を停止し、5 月23 日にはオンラインストア自体を一時閉鎖。5 月30 日に第一次報告を公表後、第三者フォレンジックを経て2024 年10 月3 日に最終調査結果を発表しました。原因はサイトの脆弱性を突いた不正アクセスによるペイメントアプリ改ざんと断定されています。

対応として、カード会社と連携した不正利用モニタリング、対象者への個別メール／郵送通知、カード再発行手数料の全額事業者負担を実施。加えてWAF 強化・24 時間監視・定期脆弱性診断などの再発防止策を導入し、安全確認後にサイトを再開しています。

【事例10】ペイメントアプリ改ざん：カンコーオンラインショップ原宿セレクトスクエア（被害3,894件）

学生服メーカー「菅公学生服」が運営していた旧 EC サイト「カンコーオンラインショップ原宿セレクトスクエア」で、長期間にわたりクレジットカード情報が不正に抜き取られた可能性が判明しました。攻撃者はサイトの脆弱性を突き、決済処理を行うペイメントアプリケーションを改ざん。これにより 2021 年 4 月 25 日～2023 年 8 月 21 日 にカード決済を行った 3,894 名 分のカード番号・有効期限・セキュリティコードのほか、氏名・住所・電話番号・生年月日までもが攻撃者サーバーへ送信される状態が続いていたとみられています。発覚のきっかけは 2023 年 9 月 27 日、カード会社からの「流出懸念」照会でした。すぐにカード決済を停止し第三者フォレンジックを開始、調査完了後の 2024 年 3 月 4 日 に公表しています。

被害拡大を防ぐため旧サイトは 2023 年 8 月 22 日 に閉鎖済みで、新たに構築した新サイト（同年 8 月 23 日開設）は旧環境と完全に分離して運営。漏えい対象カードの不正利用監視をカード会社と連携して継続するとともに、希望者のカード再発行手数料は同社が負担する措置を取っています。さらに 個人情報保護委員会へ 2023 年 12 月 12 日に報告、警察へ 12 月 15 日に被害申告 を済ませ、WAF 強化・24 時間監視・定期脆弱性診断を含む再発防止策を実行中。決済再開日は安全性確認後に改めて告知するとしています。

海外ECサイトの情報漏洩・不正アクセス最新事例10選

【事例1】大規模顧客データ流出：Ticketmaster（被害5.6億件）

コンサートチケット大手の米Ticketmasterでは、2024年5月に親会社のLive Nationが同社顧客データを保存したクラウドデータベースへの不正アクセスを検知しました。ハッカー集団「ShinyHunters」が関与を主張しており、Ticketmaster利用者約5億6,000万人分の氏名・住所・電話番号・クレジットカードの一部情報がダークウェブで売りに出される事態となりました。
攻撃者はデータの売却をネタに約40万ポンドの身代金を要求しており、同社はただちに法執行機関へ通報し、利用者への通知や被害抑止の対応を進めています。
世界規模のサービスが標的となった本事例は、^{巨大企業であっても第三者によるサイバー攻撃で甚大な個人情報流出が起こり得ることを示しています}。

【事例2】ECサイト不正アクセス：JD Sports（被害1000万件）

イギリスの大手スポーツ小売JD Sportsでは、2023年1月に過去のオンライン注文に関する顧客情報約1,000万件が不正アクセスにより流出したと公表されました。この攻撃は2018年11月から2020年10月に行われたオンライン購入データが狙われ、氏名、請求先・配送先住所、電話番号、注文内容、および支払いカードの下4桁などが含まれていました。
幸い完全なカード番号やパスワードは含まれていなかったものの、同社は対象顧客に注意喚起を行い、情報委員会へ報告しています‍。被害発覚後、専門家を交えた調査とセキュリティ強化策が実施され、顧客にはフィッシング詐欺への警戒を呼びかけました。
本事例は、^{過去のEC取引データが長期間保持されている場合、それが攻撃対象となり得るリスクを示しています}。

【事例3】決済アプリ改ざん：ZAGG（被害件数非公表（数千件規模））

米モバイルアクセサリ企業ZAGG社では、2024年10～11月に自社ECサイトで利用していたサードパーティ製アプリが改ざんされ、顧客のクレジットカード情報が流出する事件が発生しました。同社のECプラットフォーム(BigCommerce)上の「FreshClick」という外部アプリに脆弱性があり、攻撃者はそこに悪意あるコードを埋め込んでチェックアウト処理を乗っ取り、顧客が入力した氏名や住所、カード番号などを抜き取っていたのです‍。
被害件数の正確な公表はありませんが、購入者数千名規模に影響が及んだ可能性があります。ZAGGは11月8日にECプラットフォームからの警告で侵害を察知し、直ちに問題のアプリを削除して調査を開始、法執行機関へ報告するとともに被害顧客への通知や12か月分の信用監視サービス提供などの対応を行いました‍。
本事例は、^{ECサイトに導入する外部アプリの脆弱性が狙われるサプライチェーン攻撃の恐ろしさを示しています}。

【事例4】長期間のウェブスキミング：SelectBlinds（被害206,238件）

米国のブラインド通販サイト「SelectBlinds」は、2024年11月に約20万6238人分の顧客情報流出を公表しました。調査によれば同社サイトのチェックアウトページにマルウェアが埋め込まれ、2024年1月7日から9月28日まで約9か月間にわたり、気付かれないままクレジットカード情報などが盗み取られていたのです‍。
攻撃者は決済ページに悪意あるコードを仕込み、購入手続き中に入力されたカード番号・有効期限・CVVコード、氏名、住所、電話番号、ログイン資格情報までも取得していました‍。漏洩したカード情報は闇市場で他の犯罪者に売却され、不正利用される恐れがあります。発覚後、同社はサイトからマルウェアを除去し、全ユーザーパスワードを強制リセットする措置を実施、顧客にはカード明細の監視を呼びかけました。
長期間にわたり検知されなかった本事例は、^{Magecart型のデジタルスキミング攻撃が与える深刻なリスクと被害拡大の可能性を物語っています}。

【事例5】サイト改ざんによるカード情報流出：Avery（被害61,193件）

米国のラベル用品メーカーAvery（エイブリィ）の公式オンラインショップでは、約3年半の長期にわたりクレジットカード・個人情報の漏洩が起きていました。攻撃者はサイトの決済処理部分にスキマー（悪質なコード）を仕込み、利用客が入力したカード番号・CVV・有効期限に加え、氏名・住所・メール・電話番号等の個人情報を密かに攻撃者サーバーへ送信するよう改竄していたのです‍。
この不正は2024年12月9日に発覚し、Averyは被害者約61,193人に通知を行いました。既に一部顧客からはカード不正利用や巧妙なフィッシングメール被害の報告も上がっています。同社は直ちにカード決済を停止し、第三者調査機関の協力のもと原因究明と再発防止策を講じるとともに、被害者に信用モニタリングサービス提供を開始しました。
本事例は、^{ECサイトの改ざんを長期間放置すると膨大な数の顧客に被害が及び、企業の信用や財務に大打撃を与えることを改めて示しています}。

【事例6】スポーツチーム公式店への攻撃：Packers Pro Shop（被害件数非公表）

米NFLグリーンベイ・パッカーズの公式オンラインショップ「Packers Pro Shop」は、2024年9月下旬から10月にかけてサイトにカードスキマーを仕込まれ、顧客情報が流出しました。チームは10月23日に決済ページの不審なスクリプトに気付き、直ちに決済機能を停止・調査を開始しました。調査の結果、第三者による悪意あるコードがチェックアウトページに埋め込まれ、2024年9月23日～10月23日の間に入力された氏名、請求先・配送先住所、メールアドレス、クレジットカード種別・番号・有効期限・セキュリティコードなどが漏えいし得る状態だったことが判明しています。
ギフトカードやPayPal等一部支払い方法の情報は盗まれなかったものの、該当期間に通常決済を利用した顧客は被害に遭った可能性があります‍。パッカーズはサイト運営委託先と協力し悪意コードを除去、サイトの脆弱性を修正するとともに、被害者に3年間の信用監視サービス提供を開始しました。
有名スポーツチームの公式通販サイトも狙われた本事例は、^{ブランド問わずECサイトのセキュリティ対策が不可欠であることを浮き彫りにしています}。

【事例7】サプライチェーン攻撃：Magento拡張機能改ざん（500～1000サイト被害）

2025年4月、ECサイト構築プラットフォームMagento（マジェント）の拡張機能が標的とされた大規模なサプライチェーン攻撃が明らかになりました。セキュリティ企業Sansecの報告によれば、攻撃者はMagento向けの21個の公式拡張機能にバックドアを仕込み、全世界で500～1000のECサイトを侵害したのです。一部の拡張機能は2019年から既に改ざんされていましたが、悪意あるコードは2025年4月に一斉に起動されました。バックドアは拡張機能内のライセンスチェック用PHPファイルに潜んでおり、攻撃者から特定のリクエストを受け取ると任意の管理機能を実行できる仕組みでした‍。
これにより、攻撃者は被害サイト上でウェブシェルのアップロードやスキマー（カード情報抜き取りコード）の埋め込み、管理アカウントの不正作成など、あらゆる不正操作が可能となっていました。実際、この攻撃で時価総額400億ドル級の多国籍企業を含む多数のオンライン店舗が被害を受けたとされます。
サードパーティ製ソフトウェアの脆弱性を狙った本事例は、^{一つのサプライチェーン侵害が何百ものEC事業者とその顧客データに波及しうるリスクを如実に示しています}。

【事例8】ECプラットフォーム情報流出の主張：WooCommerce（被害440万件・未確認）

2025年4月、世界で広く使われるECプラットフォーム「WooCommerce」において、大規模なデータ侵害が発生したとハッカーが主張する事件がありました。ハッカー名「Satanic」を名乗る者が犯行声明を出し、WooCommerce関連サイトから4百40万件超のユーザーデータを入手したとBreachedフォーラム上に投稿したのです‍。投稿によれば、流出したのはWooCommerce本体ではなく、各サイトで連携していたCRM（顧客管理）やマーケティング自動化ツールなどサードパーティ統合の脆弱性を突いたものだとされています。
漏洩データには、利用者のメールアドレス・電話番号・住所・SNSアカウントといった個人情報に加え、被害EC企業の売上高や従業員数、使用技術スタックなどの企業メタデータまで含まれていたとされます‍。ただしWooCommerceを提供するAutomattic社は直ちに調査を行い、自社サービスからの流出ではなく、おそらく第三者の公開データ集約サービスが関与した可能性が高いと表明しました。
この事件は真偽確認中ではあるものの、ECプラットフォーム全体を揺るがすような巨大漏洩が発生し得ること、そしてプラットフォーム利用企業は自社サイトだけでなく連携する外部サービスのセキュリティにも十分注意を払う必要があることを示唆しています。

【事例9】資格情報漏洩による顧客情報流出：MyDeal（被害220万件）

オーストラリアのオンラインマーケットプレイス「MyDeal」では、2022年10月に約220万件の顧客情報が漏洩する事件が発生しました。親会社Woolworths社によると、MyDealのシステム管理用アカウントの認証情報が第三者に漏洩・悪用され、顧客データベースへの不正アクセスが行われたことが原因です。
漏洩した情報には、顧客の氏名、メールアドレス、電話番号、配送先住所が含まれ、一部の顧客については酒類購入時の年齢確認に使用された生年月日も含まれていました‍。幸い、パスワードやクレジットカード情報、運転免許証・パスポートなどの機密情報はMyDeal側で保持しておらず、流出は免れています。MyDealは直ちに影響顧客へのメール連絡を行い謝罪するとともに、豪州当局へ報告し捜査に協力しています‍。
不十分な認証管理が数百万件規模の個人情報漏洩につながった本事例は、^{アクセス権限管理や資格情報の保護の重要性を示しています}。

【事例10】国際的Magecart攻撃：Emma Sleep（被害12カ国）

ドイツ発のマットレス通販企業「Emma Sleep（エマ・スリープ）」では、2022年初頭に欧州含む複数国の自社ECサイトがMagecartと呼ばれるスキミング攻撃に遭い、決済ページからクレジットカード情報が漏洩しました‍。
調査によると被害期間は2022年1月27日から3月22日までで、この間、同社サイトのチェックアウトページに追加された悪質なJavaScriptコードが、入力途中のカード番号などのデータをユーザーのブラウザから直接攻撃者側に転送していました‍。この攻撃により、サイト利用者が購入手続きを完了したか否かに関わらず、フォームに入力したクレジットカード情報および個人情報が盗まれた可能性があります‍。
攻撃者は本物のサイトと見分けがつきにくい偽ドメインを用意し、そこから悪意コードをロードする手口で検知を逃れており、同社の導入していたセキュリティ対策をすり抜けていました。Emma社は攻撃判明後すぐに不審コードを除去し、関係当局（警察やデータ保護当局）への報告と影響顧客への通知を行いました‍。複数国にまたがる高度な手口の本事例は、^{Magecartグループによる国際的なECサイト攻撃の脅威と、最新のセキュリティ対策実施の重要性を浮き彫りにしています}。

各事例とも、悪意ある第三者によるサイバー攻撃がECサイトの脆弱性を巧妙に突いた結果、大量の顧客データ漏えいを招いています。
これらの教訓から、企業はソフトウェア更新やサプライチェーンの管理、異常検知システムの強化、そしてインシデント発生時の迅速な対応計画の整備といった包括的なセキュリティ対策が不可欠であることがわかります。
特に^{カード情報など決済データを扱うサイトでは、一層の警戒と定期的なセキュリティ監査によって、顧客の信頼と安全を守る努力が求められています}。

なぜECサイトの情報漏洩は後を絶たないのか？攻撃手口から紐解く5つの根本原因

最新の事例を見てきましたが、なぜこれほどまでにECサイトの情報漏洩は頻発するのでしょうか。
その背景には、^{攻撃者が利用する手口と、ECサイトが抱える構造的な問題が複雑に絡み合っています}。
ここでは、その根本原因を5つに分類して解説します。

原因1：Webアプリケーションの脆弱性（SQLインジェクション、XSSなど）

ECサイトを動かしているプログラムそのものに、セキュリティ上の欠陥（脆弱性）が存在する場合があります。
例えば、「SQLインジェクション」は、Webサイトの入力フォームに不正な命令文を送り込み、データベースを不正に操作する攻撃です。
これにより、データベースに保管されている顧客情報をごっそり盗み出すことが可能になります。

また、「クロスサイトスクリプティング（XSS）」は、サイトに罠を仕掛け、訪れたユーザーのブラウザ上で不正なスクリプトを実行させる攻撃です。
これにより、ユーザーの個人情報を盗んだり、偽のページに誘導したりします。
これらの脆弱性は、^{ECサイト構築時に作り込まれてしまうことが多く、定期的な診断と修正が不可欠}です。

原因2：巧妙化するクライアントサイド攻撃（Webスキミング）

先ほどの医学書専門ECサイトの事例でも見たように、近年「クライアントサイド」、つまりユーザーのブラウザ側を狙った攻撃が増えています。
代表的なWebスキミングでは、攻撃者はECサイトの決済ページで利用されている外部のJavaScriptライブラリなどを改ざんします。
ユーザーが決済情報を入力すると、その情報が正規のルートとは別に、攻撃者の用意したサーバーにも送信されてしまうのです。

この攻撃は、ECサイト運営者が管理するサーバー側ではなく、^{ユーザーのブラウザで完結するため、従来のWAFなどでは検知・防御が困難な点が特徴}です。
知らぬ間に情報が盗まれ続けるため、被害が長期化しやすい傾向にあります。

原因3：流出済みID・パスワードの悪用（パスワードリスト攻撃）

ECサイト自体に脆弱性がなくても、ユーザー側の問題で情報漏洩に繋がるケースがあります。
それが「パスワードリスト攻撃」です。
攻撃者は、どこかのサービスから流出したIDとパスワードの組み合わせのリスト（闇市場などで売買されています）を入手します。
そして、そのリストを使って様々なECサイトに片っ端からログインを試みるのです。

多くの人が複数のサービスで同じパスワードを使い回しているため、この「数打てば当たる」式の攻撃が成立してしまいます。
^{一度不正ログインを許すと、登録されている個人情報が盗まれるだけでなく、不正注文の温床にもなりかねません}。

原因4：セキュリティ設定の不備・人的ミス

どんなに強固なシステムを導入していても、それを扱う「人」が原因で情報漏洩は起こり得ます。
サーバーのアクセス権限の設定ミスや、セキュリティ対策が不十分なままリモートアクセスを許可してしまうケースが後を絶ちません。
また、従業員が誤って顧客情報が含まれたファイルを外部にメールで送信してしまう「メール誤送信」も、情報漏洩原因の約10%を占めるというデータがあります。

これらは、^{日頃の業務の中に潜むリスクであり、従業員一人ひとりのセキュリティ意識と、組織としての厳格なルール作りが求められます}。

原因5：サプライチェーン攻撃（委託先や利用ツール経由の攻撃）

自社のセキュリティ対策が万全でも、安心はできません。
ECサイトの構築や運用を外部業者に委託している場合、その委託先のセキュリティが甘ければ、そこを踏み台にして自社サイトへ侵入される可能性があります。
また、サイトで利用しているCMS（コンテンツ管理システム）のプラグインや、外部のマーケティングツールなどに脆弱性が見つかり、そこから攻撃されるケースも増えています。

このように、自社だけでなく、^{取引先や利用サービスを含めた一連の繋がり（サプライチェーン）全体でセキュリティを考える必要があるのです}。

【完全ガイド】ECサイトの情報漏洩を防ぐ！今すぐ実践すべき多角的なセキュリティ対策

ここまで情報漏洩の事例と原因を見てきました。
では、具体的にどのような対策を講じれば、自社のECサイトを守れるのでしょうか。
対策は^{「システムで防御する技術的対策」と「人で防御する組織的対策」の二つ}に大別されます。
ここでは、ECサイト運営者が今すぐ取り組むべき対策を網羅的に解説します。

技術的対策：システムで防御する7つの重要施策

まず、サイバー攻撃からシステム自体を守るための技術的な対策です。
これらは^{ECサイトを運営する上での基本的な防御策}となります。

対策項目	目的・概要	具体的なアクション例
WAFの導入	Webアプリケーションの脆弱性を狙った攻撃（`SQLインジェクション`等）を検知・遮断します。	`Cloudflare WAF`などを導入し、常に最新の攻撃パターンに対応できるようルールを更新する。
OS・ソフトウェアの最新化	システムの脆弱性をなくすため、OSやミドルウェア、アプリケーションを常に最新の状態に保ちます。	セキュリティパッチが公開されたら、48時間以内の適用を目標とする。
脆弱性診断の実施	自社サイトに潜在的な脆弱性がないか、専門のツールやサービスを使って定期的にチェックします。	`OWASP ZAP`などのツールを利用し、四半期に一度は診断を実施する。
多要素認証（MFA）の導入	ID・パスワードに加え、SMS認証や認証アプリなどを組み合わせ、不正ログインを防ぎます。	管理者画面へのログインには多要素認証を必須とする。
EMV 3-Dセキュアの導入	クレジットカード決済時の本人認証を強化し、「なりすまし」による不正利用を防ぎます。[8]	2025年3月末に義務化された`EMV 3-Dセキュア（2.0）`に対応する。
クレジットカード情報の非保持化	自社サーバーでカード情報を保持せず、決済代行会社（PSP）の提供するトークン決済などを利用します。[6]	決済代行サービスの`PCI DSS`準拠状況を定期的に確認する。
EDRの導入	PCやサーバーなど（エンドポイント）の不審な挙動を検知・対応し、マルウェア感染などを早期に発見します。	`CrowdStrike Falcon`などのEDRソリューションを導入し、アラート監視体制を構築する。

見落としがちなクライアントサイドの脆弱性には「Spider AF SiteScan」が有効

上記の技術的対策に加えて、近年特に重要性が増しているのが「クライアントサイド」のセキュリティです。
Webスキミングのように、ユーザーのブラウザ側で発生する攻撃は、WAFなどの従来の対策では防ぐことができません。
そこで有効なのが、弊社が提供する「Spider AF SiteScan」です。

SiteScanは、ウェブサイトで実行されている全てのJavaScriptをリアルタイムで監視し、不正な、あるいは脆弱なスクリプトを検知・ブロックします。
SiteScanを導入することで、^{見落とされがちなクライアントサイドのリスクを可視化し、プロアクティブな防御を実現できます}。

＼タグのリスクを自動で可視化・防御／

セキュリティツール
Spider AF SiteScan サービス詳細はこちら

組織的対策：人で防御する5つの重要施策

強固なシステムも、それを扱う「人」や「組織」のセキュリティ意識が低ければ意味をなしません。
全社的にセキュリティレベルを高めるための組織的な対策も、技術的対策と両輪で進める必要があります。

対策項目	目的・概要	具体的なアクション例
セキュリティポリシーの策定	情報セキュリティに関する社内ルールを明確に定め、全従業員が遵守すべき基準を設けます。	年に一度はポリシー内容を見直し、最新の脅威に合わせて更新。全従業員に周知し、理解度テストを実施する。
従業員教育の実施	全従業員に対し、セキュリティに関する教育や訓練を定期的に行い、意識向上を図ります。	半年に一度、フィッシング詐欺を模した訓練メールを送信し、開封率などを元に対応を指導する。
インシデント対応体制の構築	万が一情報漏洩が発生した際の対応手順や連絡体制を事前に定め、迅速な対応を可能にします。	`CSIRT`（専門チーム）を設置し、定期的にインシデント対応訓練を実施する。
委託先管理の徹底	ECサイトの運用などを外部に委託している場合、その委託先のセキュリティ対策状況を定期的に確認します。	委託先との契約にセキュリティに関する条項を盛り込み、年に一度はセキュリティ監査を実施する。
情報管理の徹底	個人情報の取り扱いに関するルール（アクセス権限の最小化など）を定め、その遵守状況を監視します。	個人情報へのアクセスログを定期的に監査し、不審なアクセスがないかチェックする。

万が一情報漏洩が発生したら？被害を最小限に抑えるインシデント対応5ステップ

どんなに万全な対策を講じていても、情報漏洩のリスクをゼロにすることはできません。
そのため、万が一インシデントが発生してしまった場合に、^{いかに冷静かつ迅速に対応できるかが極めて重要}です。
ここでは、被害を最小限に抑えるための基本的な対応フローを5つのステップで解説します。

初動対応（封じ込め）→原因調査（根絶）→復旧→関係各所への報告→事後対応（再発防止）

インシデント発生時には、パニックにならず、あらかじめ定めた手順に従って行動することが求められます。

ステップ	主な目的	具体的なアクション
1. 初動対応（封じ込め）	被害の拡大を防ぐ	該当サーバーのネットワークからの隔離、不正アクセスの遮断、影響範囲の特定。
2. 原因調査（根絶）	攻撃の根本原因を排除する	ログの解析、マルウェアの駆除、脆弱性の特定と修正。
3. 復旧	正常なサービスを再開する	安全なバックアップからのデータ復元、システムの再構築、セキュリティを強化した上でのサービス再開。
4. 関係各所への報告	法的・社会的な責任を果たす	個人情報保護委員会や警察への報告、クレジットカード会社への連絡、そして最も重要な顧客への通知と謝罪。
5. 事後対応（再発防止）	同じ過ちを繰り返さない	インシデント全体のレビュー、対応プロセスの評価、セキュリティポリシーや対策の見直しと強化。

このフローを事前にインシデントレスポンス計画として文書化し、定期的に訓練しておくことが、有事の際の迅速な行動に繋がります。

【ECサイト利用者向け】自分の個人情報を守るための3つの自己防衛策

ECサイトの情報漏洩は、事業者だけの問題ではありません。
私たち利用者一人ひとりも、自分の情報を守るための対策を講じることが重要です。
ここでは、ECサイト事業者が顧客に案内すべき、また利用者自身が実践すべき3つの基本的な自己防衛策を紹介します。

パスワードの使い回しをやめる
- サービスごとに異なる、複雑なパスワードを設定しましょう。パスワード管理ツールを利用するのも有効です。
多要素認証（二段階認証）を設定する
- サービスが提供していれば、必ず設定しましょう。ID・パスワードが漏洩しても、不正ログインを防ぐことができます。
不審なメールやSMSに注意する
- ECサイトをかたるフィッシング詐欺が多発しています。安易にリンクをクリックしたり、個人情報を入力したりしないようにしましょう。

まとめ：ECサイトの情報漏洩対策は「継続的な監視と改善」が鍵

本記事では、ECサイトにおける情報漏洩の最新事例から、その深刻な原因、そして明日から実践できる具体的な対策までを詳しく解説しました。
重要なのは、情報漏洩対策は一度行えば終わりではなく、日々進化するサイバー攻撃の脅威に対応し続ける「継続的なプロセス」であると認識することです。

脆弱性診断や従業員教育を定期的に行い、常にセキュリティ体制を見直し、改善していく必要があります。
しかし、多忙なECサイト担当者がこれら全てを完璧にこなすのは、容易なことではありません。

弊社の「Spider AF SiteScan」のようなソリューションは、^{特に見落とされがちなクライアントサイドの脅威を24時間365日自動で監視し、担当者の負担を大幅に軽減します}。
継続的な監視と改善のプロセスを効率化し、より安全なECサイト運営を実現するために、ぜひ一度ご検討ください。