フクヨシショッピングサイト、Webスキミング攻撃で1.2万件のクレカ情報漏えい - ECサイトのセキュリティ対策は万全ですか？

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

2025年10月、作業服通販を手がける株式会社フクヨシが運営する「フクヨシショッピングサイト」において、深刻なサイバー攻撃による個人情報漏えい事件が発覚しました。この事件は、約3年間にわたって気づかれることなく継続されたWebスキミング攻撃により、12,630件ものクレジットカード情報が漏えいしたという、ECサイト運営者にとって悪夢のような事案です。

事件の経緯と攻撃手法の詳細
1. 漏えいした情報の範囲
Webスキミング攻撃の恐ろしさ
1. なぜ長期間発覚しなかったのか
ECサイト運営者が取るべき対策
個人ユーザーができる自己防衛策
企業の対応姿勢について
まとめ：サイバーセキュリティは全員の責任
一次情報または関連リンク

事件の経緯と攻撃手法の詳細

今回の事件は、2024年7月16日に神奈川県警サイバー犯罪課からの通報により発覚しました。警察からの「悪性ファイルが存在する疑い」という通報を受け、同社は約1か月後の8月20日にサイトを緊急閉鎖し、第三者調査機関による詳細な調査を開始しました。

調査の結果、攻撃者はフクヨシショッピングサイトのシステムの脆弱性を悪用し、ペイメントアプリケーション（決済システム）を改ざんしていたことが判明しました。これは「Webスキミング攻撃」と呼ばれる手法で、ECサイトの決済ページに悪意のあるコードを仕込み、顧客が入力したクレジットカード情報をリアルタイムで窃取する攻撃手法です。

漏えいした情報の範囲

対象期間：2021年3月31日～2024年8月9日（約3年5か月間）
被害件数：12,630件
漏えい情報：
- クレジットカード情報（名義、番号、有効期限、セキュリティコード）
- メールアドレス
- パスワード
- 電話番号

Webスキミング攻撃の恐ろしさ

フォレンジック調査の現場で多数のWebスキミング攻撃を分析してきた経験から言えることは、この攻撃手法の巧妙さと発見の困難さです。従来のサイト改ざんとは異なり、見た目上はサイトが正常に動作し続けるため、長期間気づかれないケースが多いのが特徴です。

bgt?aid=250920794415&wid=001&eno=01&mid=s00000007238007011000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

実際に今回の事件でも、約3年5か月という長期間にわたって攻撃が継続されていました。この間、顧客は普通にオンラインショッピングを楽しんでいたわけですが、知らないうちにクレジットカード情報が第三者に送信され続けていたのです。

なぜ長期間発覚しなかったのか

Webスキミング攻撃が長期間発覚しない理由として、以下の点が挙げられます：

サイトの見た目に変化がない：ユーザーから見ると通常通りの決済画面
決済処理は正常に完了：商品も届くため被害に気づきにくい
コードが巧妙に隠蔽：一般的なセキュリティスキャンでは検出困難
段階的な情報窃取：大量の不正利用を避け、発覚リスクを低減

ECサイト運営者が取るべき対策

今回の事件を受けて、ECサイト運営者が実装すべきセキュリティ対策をご紹介します。フクヨシ社も今回の教訓を踏まえ、PCI DSSの要件に準拠した運用を開始すると発表しています。

1. 定期的なWebサイト脆弱性診断サービスの実施

システムの脆弱性を定期的にチェックし、攻撃者が悪用する前に対処することが重要です。特に決済機能を持つECサイトでは、Webサイト脆弱性診断サービスにより潜在的なリスクを早期発見できます。

2. ファイル改ざん検知システムの導入

Webスキミング攻撃では、JavaScriptファイルやPHPファイルが改ざんされることが多いため、ファイルの変更を即座に検知できるシステムが有効です。

3. PCI DSSへの準拠

クレジットカード情報を扱うECサイトでは、PCI DSS（Payment Card Industry Data Security Standard）への準拠が不可欠です。今回のフクヨシ社も事件後にPCI DSS SAQを作成し、準拠を徹底すると発表しています。

個人ユーザーができる自己防衛策

ECサイト側のセキュリティ対策が重要である一方、個人ユーザー側でも身を守る方法があります。

1. アンチウイルスソフトによる保護

最新のアンチウイルスソフトを導入することで、悪意のあるスクリプトをブロックし、個人情報の漏えいを防ぐことができます。特にオンラインショッピング時は、リアルタイム保護機能が有効です。

2. VPN の利用

公共Wi-Fiや信頼性の低いネットワーク環境でオンラインショッピングを行う場合、VPN を利用することで通信内容を暗号化し、第三者による盗聴を防ぐことができます。

3. クレジットカード利用明細の定期チェック

今回の事件でも、フクヨシ社は顧客に対して「カード利用明細に身に覚えのない項目があった場合はカード会社に問い合わせるよう」呼びかけています。月1回は必ず利用明細をチェックし、不審な取引がないか確認しましょう。

企業の対応姿勢について

今回の事件で注目すべきは、フクヨシ社の対応の透明性です。公表が遅れた理由について「不確定な情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠」と説明しており、責任ある対応姿勢を示しています。

また、既にカード会社と連携したモニタリング体制の構築、個人情報保護委員会への報告、警察への被害届提出など、法的要件を満たした適切な対応を行っている点も評価できます。

まとめ：サイバーセキュリティは全員の責任

今回のフクヨシショッピングサイトの事件は、Webスキミング攻撃の巧妙さと、ECサイトのセキュリティ対策の重要性を改めて浮き彫りにしました。約3年という長期間にわたって気づかれなかったという事実は、従来のセキュリティ対策だけでは不十分であることを示しています。

ECサイト運営者はWebサイト脆弱性診断サービスの定期実施やPCI DSS準拠などの包括的なセキュリティ対策を、個人ユーザーはアンチウイルスソフトやVPN の活用、利用明細の定期チェックなどの自衛策を実践することが重要です。

サイバーセキュリティは企業だけの問題ではなく、デジタル社会に生きる私たち全員が取り組むべき課題です。今回の事件を教訓に、それぞれの立場でできることから始めていきましょう。