通販サイト「リサイクル着物おりいぶ」において、最大208件のクレジットカード情報が漏えいした可能性があると、運営元の有限会社ベル・コーポレーションが2025年11月17日に公表しました。
対象となるのは、2021年3月23日〜2024年12月13日までの期間中に、同サイトにてクレジットカード決済を行った顧客208名で、カード名義・番号・有効期限・セキュリティコードの情報が不正アクセスにより外部に流出したおそれがあるとのことです。
すでに対象顧客には電子メール・書状で個別連絡が行われており、クレジットカード会社と連携したモニタリングも継続中です。
出典:ユーシーカード株式会社
目次
情報漏えいの経緯と原因
2024年12月10日、神奈川県警サイバー対策課より、同社が運営する通販サイト「リサイクル着物おりいぶ」に不正アクセスがあった可能性があるとの連絡を受け、当日中にカード決済の受付を停止。その後、第三者調査機関によるフォレンジック調査が行われました。
調査は2025年2月28日に完了し、「ペイメントアプリケーションの改ざん」によりカード情報が漏えいし、一部の不正利用が確認された可能性があると報告されました。この結果を受け、同年11月17日に正式な公表に至ったと説明されています。
漏えいした可能性のある情報
不正アクセスが行われたのは、サイト内のオンライン決済部分で、影響を受けた期間は2021年3月23日〜2024年12月13日とされています。
漏えいした可能性がある情報は、以下の通りです。
- カード名義人名
- クレジットカード番号
- 有効期限
- セキュリティコード
以下に該当する方は、クレジットカード会社の「ご利用明細書」またはWeb明細(例:「アットユーネット」など)をご確認ください。
- 2021年3月〜2024年12月に「リサイクル着物おりいぶ」でカード決済を行った
- UCカードなど複数のブランドを利用していた
- 通知書面または電子メールによる案内を受け取った
身に覚えのない請求が記載されていた場合は、カード裏面に記載された連絡先へ速やかにお問い合わせください。カードの再発行に関しては、手数料が免除されるよう同社からカード会社へ依頼済とのことです。
出典:ユーシーカード株式会社
発表が遅れた理由と説明責任
公表までに11か月を要した理由について、同社は「情報が不確定な段階で発表することで混乱を招く恐れがあった」とし、調査結果の確定と社内対応体制の整備を優先したと説明しています。
なお、以下の通り、関係機関への報告は実施済みです。
- 2024年12月13日:所轄警察署へ被害申告
- 2024年12月19日:個人情報保護委員会へ報告
再発防止策とサイト閉鎖の方針
同社は、今後の再発防止に向けて次のような対応を取ると発表しています。
- システムのセキュリティ強化(脆弱性の洗い出しと修正)
- 決済アプリケーションの監視体制の再構築
- ネット通販サービス全体の見直し
なお、「リサイクル着物おりいぶ」のサービスについては、システム改修を経た後に閉鎖される予定であり、再開の予定はないとされています。
不正アクセスを受けた場合はフォレンジック調査が有効
万が一、社内システムや委託先を経由した不正アクセスが発覚した場合、最優先で行うべきは、客観的かつ正確な原因の特定と被害範囲の把握です。そのため、専門的な解析技術を用いるフォレンジック調査の実施が有効です。
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
特に法人の場合、影響が自社内にとどまらず、取引先や委託先、顧客、監督機関への説明責任が発生するケースも少なくありません。
個人情報が関係する場合には、個人情報保護委員会などへの報告義務が法律で定められており、内容不備や対応の遅れが再提出・行政指導・取引停止・信用毀損といったリスクに直結するおそれがあります。
フォレンジック調査は、その根拠となる事実や証拠を第三者性をもって構築する手段であり、社外説明・法的対応・監督官庁への報告にも活用可能です。
被害発生時にフォレンジック調査が有効な理由は次の通りです。
- 侵入経路の特定:攻撃者がどこから侵入したかを明確にする
- 被害範囲の可視化:影響を受けたデータやシステムを把握する
- 証拠となるデータ保全:法的対応や保険請求に備えて証拠データを安全に保存する
- 再発防止策の策定:調査結果を基にセキュリティ体制を強化する
このような調査を中立的な第三者が実施することで、調査の客観性が担保され、社内の是正措置と社外への信頼確保の両立が可能になります。
弊社デジタルデータフォレンジック(DDF)では、情報漏えい調査(ダークウェブ調査)、ランサムウェア、サイバー攻撃や不正アクセスの原因特定、被害範囲調査などを実施しています。官公庁、上場企業、捜査機関など、多様な組織のインシデント対応実績があり、相談や見積もりは無料、24時間365日体制でご依頼を受け付けています。
早期対応が被害拡大防止の鍵となりますので、まずはご相談ください。
当社は累計約3.9万件ものサイバーインシデント対応実績があり、情報漏えいを引き起こさないための対策方法など豊富な知見を有しています。当社のサイバーセキュリティ専門家が、事前の予防から万が一の対応まで徹底サポートいたします。
24時間365日で無料相談を受け付けておりますので、お気軽にご相談ください。
✔どこに依頼するか迷ったら、相談実績が累計39,451件以上(※1)のデジタルデータフォレンジック(DDF)がおすすめ
✔データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
✔相談からお見積まで完全無料
※1 累計ご相談件数39,451件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
まとめ
今回の「リサイクル着物おりいぶ」における情報漏えい事案は、長期間にわたりクレジットカード情報が外部に漏えいしていた可能性があるという、ECサイト特有のサイバーリスクを改めて示す結果となりました。
通販サイトにおいては、利便性やユーザー体験の向上と引き換えに、脆弱なシステム管理が顧客の信頼を大きく損なう恐れがあることを念頭に置かなければなりません。
万一の際は、被害範囲を正確に把握し、関係者・カード会社・監督官庁へ適切な報告・対応を行うためにも、第三者性を備えたフォレンジック調査の活用をぜひご検討ください。
関連記事
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
