title: "老舗ECがWebスキミング被害——決済ページ改ざんでカード情報漏えい、中小ECが今すぐ確認すべき対策" description: "佐嘉平川屋オンラインショップの不正アクセスで個人情報73,213件・カード情報6,303件が漏えいの可能性。決済ページを改ざんしカード情報を抜き取るWebスキミングの手口と、中小ECが取るべきコード改ざん検知・PCI DSS・決済ページ保全のチェックリストを整理する。" keyword: "Webスキミング EC 決済ページ 改ざん カード情報漏えい 中小 対策" slug: "web-skimming-ec-payment-tampering-sme-20260625" date: "2026-06-25" updatedAt: "2026-06-25" category: "セキュリティ" tags: ["Webスキミング","ECセキュリティ","カード情報漏えい","PCI DSS","中小企業"] author: "GXO株式会社" lead_summary: "決済ページを改ざんしカード情報を盗むWebスキミングは中小ECも標的。改ざん検知と決済保全が急務だ。"
老舗ECがWebスキミング被害——決済ページ改ざんでカード情報漏えい、中小ECが今すぐ確認すべき対策
結論:自社ECの決済ページが改ざんされていないか、今すぐ確認すべき
2026年6月15日、佐賀県の老舗豆腐店「佐嘉平川屋」が、運営するオンラインショップへの不正アクセスにより個人情報およびクレジットカード情報が漏えいした可能性があると公表した。原因は、サイトのシステムの一部の脆弱性を突いた不正アクセスによる「ペイメントアプリケーションの改ざん」とされている。これは、決済ページに不正なコードを埋め込み、利用者が入力したカード情報をリアルタイムに抜き取る Webスキミング と呼ばれる手口である。
ここで多くのEC事業者が陥りがちな誤解がある。「うちは大企業ではないから狙われない」という思い込みだ。しかし今回の被害企業は地域の老舗事業者であり、攻撃者にとって企業規模は問題ではない。問題は 決済ページに不正コードを仕込めるかどうか だけである。
押さえるべき1点:Webスキミングは決済システムを「壊す」のではなく「静かに改ざんする」攻撃。サイトは正常に動き続けるため、運営者が気づかないまま漏えいが続く。
自社でECサイトを運営しているなら、今日確認すべきことは1つだ。決済ページのHTML/JavaScriptが、いつの間にか改ざんされていないか。本記事では、公表された事実、Webスキミングの手口、そして中小ECが取るべき具体的な対策を整理する。自社ECに改ざんやコード混入の余地がないかを早めに点検したい場合は、セキュリティの脆弱性診断でWebアプリ・決済まわりを棚卸しし、必要に応じてECサイトの開発・改修まで一気通貫で見直すとよい。
RETAIL & EC DX
実店舗とECの在庫分断、1本のOMSで解消しませんか?
POS/自社EC/モールを統合するオムニチャネル基幹。同規模小売・D2Cの概算費用・導入期間・事例をその場で確認できます。
公表された事実(一次情報ベース)
被害の詳細は、佐嘉平川屋が公式サイトで公表したお詫び文に基づく。数値・日付は公表値に忠実に記載する。
| 項目 | 公表内容 |
|---|---|
| 公表日 | 2026年6月15日 |
| 漏えいの可能性がある個人情報 | 73,213件(氏名、生年月日、住所、電話番号、メールアドレス等) |
| 漏えいの可能性があるカード情報 | 6,303件(カード名義人名、カード番号、有効期限、セキュリティコード) |
| カード情報の対象期間 | 2025年3月21日〜2026年3月10日 |
| 個人情報の対象期間 | 2021年4月6日〜2026年3月10日 |
| 原因 | システムの一部の脆弱性を突いた第三者の不正アクセスによるペイメントアプリケーションの改ざん |
| 報告 | 所轄警察署へ2026年3月9日、個人情報保護委員会へ2026年3月12日 |
加えて、報道によると、この流出したカード情報を不正利用したとして、東京都内に住むベトナム国籍の容疑者が2026年6月24日に窃盗などの疑いで逮捕されたとされる。容疑者は流出したカード情報を使い、ネット通販で商品を購入した疑いが持たれていると報じられている。
ここで注目すべきは2点ある。第一に、カード情報にセキュリティコードが含まれている こと。本来セキュリティコードは決済処理後も保存してはならない情報であり、これが漏れたということは、入力された瞬間にリアルタイムで窃取された可能性が高い。これはWebスキミングの典型的な特徴だ。第二に、漏えいの認知から実際の不正利用・逮捕まで時間差がある こと。盗まれたカード情報は時間を置いて、別の人物によって悪用される。被害は公表時点で終わらない。
なお、被害企業を非難する意図はない。Webスキミングは検知が難しく、専門のセキュリティ体制を持たない中小事業者であれば、どこでも起こりうる事案である。重要なのは、自社が同じ構造的リスクを抱えていないかを点検することだ。
これは「大企業だけの話」ではない
自社で決済機能を持つECサイトを運営している事業者は、規模を問わず同じリスクの中にいる。むしろ中小ECほど狙われやすい構造的な理由がある。決済ページ改ざんを含むセキュリティ事故の類型はセキュリティ失敗図鑑で全体像をつかめる。
| 中小ECが狙われやすい理由 | 背景 |
|---|---|
| パッチ適用が遅れがち | 専任のセキュリティ担当者がおらず、CMSやプラグインの更新が後回しになる |
| 古いカート・決済システムを使い続ける | リプレース費用を避け、保守切れのシステムを運用し続ける |
| 改ざん検知の仕組みがない | サイトが表示されていれば「正常」と判断し、コードの変化を監視していない |
| カード情報を自社サイトで入力させている | 決済代行の非通過型ではなく、自社ページでカード番号を入力させる旧来型構成 |
| 委託先・制作会社任せ | サイトの中身を把握しておらず、誰が何を変更できるか管理されていない |
特に「サイトが普通に動いているから問題ない」という認識は危険だ。Webスキミングの攻撃者は、サイトを止めることを望まない。止まれば気づかれるからだ。決済は正常に完了し、商品も届く。利用者も運営者も異常に気づかない。その裏で、入力されたカード情報だけが攻撃者のサーバーへ送られ続ける。
Webスキミング(決済ページ改ざん)の手口
Webスキミングは、攻撃者が何らかの方法でWebサイトに不正なJavaScriptを埋め込み、決済フォームに入力された情報を窃取する攻撃の総称だ。攻撃の侵入経路を理解すると、どこを守るべきかが見えてくる。
| 侵入経路 | 内容 |
|---|---|
| CMS・プラグインの脆弱性 | WordPress、EC-CUBE等のコア・拡張機能の既知脆弱性を突いて管理権限を奪取し、テンプレートやJSを書き換える |
| 管理画面への不正ログイン | 推測されやすいパスワードや使い回し認証情報で管理画面に侵入し、コードを改ざんする |
| サーバー・FTPの認証情報流出 | 制作・保守用の認証情報が漏れ、ファイルを直接改ざんされる |
| 外部読み込みスクリプトの汚染 | サイトが読み込む外部のタグ・ライブラリ(解析、広告、チャット等)が改ざんされ、間接的に不正コードが注入される(サプライチェーン型) |
埋め込まれた不正コードは、決済フォームの入力欄を監視し、利用者がカード番号・有効期限・セキュリティコードを打ち込むたびに、その値を攻撃者の管理するサーバーへ送信する。正規の決済処理はそのまま実行されるため、決済は成功し、画面上は何も異常がない。これが「気づかれない漏えい」が長期間続く理由である。
今回の事案でカード情報の対象期間が約1年に及んでいることも、改ざんが長期間検知されなかった可能性を示唆している。
自社ECの点検チェックリスト
自社で決済ページを持つECを運営しているなら、以下を上から順に確認してほしい。技術的な確認は情シスや保守委託先と、運用面の確認は経営・EC事業責任者が担うことを想定している。
決済ページ・コードの保全
- 決済ページのHTML/JavaScriptに、身に覚えのないコードや外部ドメインへの通信が含まれていないか
- 本番ファイルの改ざんを検知する仕組み(ファイル整合性監視・改ざん検知)が導入されているか
- サイトが読み込む外部スクリプト(解析・広告・チャット・フォーム等)を棚卸しし、不要なものを削除しているか
- 決済フォームのページで読み込まれるスクリプトを最小限に絞っているか
システム・脆弱性管理
- CMS本体・カート・決済プラグイン・テーマが最新の状態に更新されているか
- 保守切れ・サポート終了のソフトウェアを使い続けていないか
- 公開サイトに対する脆弱性診断を定期的に実施しているか
- 管理画面のURLが推測されやすい初期設定のままになっていないか
アクセス管理
- 管理画面・サーバー・FTPの認証情報を使い回していないか
- 管理画面ログインに多要素認証(MFA)を設定しているか
- 退職者・元委託先のアカウントや認証情報が残っていないか
- 誰がサイトのコードを変更できるか、権限を把握・管理できているか
カード情報の取り扱い・PCI DSS
- 自社サイトでカード情報を直接入力させる構成か、決済代行のリダイレクト/非通過型(トークン決済)か把握しているか
- セキュリティコードを自社で保存していないか(保存は原則禁止)
- 自社の決済構成が PCI DSS の求める要件に沿っているか、決済代行・カード会社と確認しているか
- 改正割賦販売法・実行計画が求める「カード情報の非保持化」または「PCI DSS準拠」の要件を満たしているか
特に最後のカード情報の取り扱いは重要だ。カード情報を自社のページで入力させる構成は、決済ページが改ざんされた瞬間に情報を抜き取られるリスクを直接抱える。決済代行サービスの画面でカード情報を入力させる「非通過型」に切り替えれば、自社サーバーをカード情報が通らなくなり、Webスキミングの被害面を大きく減らせる。
もし不審な改ざんを見つけたら
万一、決済ページに身に覚えのないコードを発見した場合、自己判断で削除して終わりにしてはならない。証拠の保全と被害範囲の特定が先である。
- 該当ファイル・通信ログを保全したうえで、決済機能の停止可否を判断する
- 決済代行・カード会社・必要に応じて警察へ連絡する
- 影響範囲(対象期間・件数)を調査する
- 個人情報・カード情報の漏えいが疑われる場合、個人情報保護委員会への報告義務を確認する
- 専門のインシデント対応支援を受け、原因究明と再発防止を行う
漏えい事案では、初動の証拠保全を誤ると被害範囲の特定ができず、対外説明にも支障が出る。社内に対応経験がない場合は、早い段階で外部のインシデント対応支援を活用すべきである。
FAQ
Q. サイトが正常に表示・決済できていれば、Webスキミングは起きていないと考えてよいですか。 いいえ。Webスキミングは決済を止めず、サイトも正常に動作します。むしろ正常に見えることが攻撃の特徴です。コードの改ざん検知や脆弱性診断を行わない限り、表示だけで「安全」とは判断できません。
Q. 決済代行サービスを使っていれば安全ですか。 構成によります。自社ページでカード情報を入力させてから決済代行に渡す構成では、自社ページの改ざんで情報が抜かれます。決済代行の画面に遷移してカード情報を入力させる非通過型であれば、被害面は大きく減ります。自社がどちらか把握することが第一歩です。
Q. 小規模ECなので、コストをかけてまで対策が必要ですか。 カード情報漏えいが発生すると、調査費用、決済停止による売上機会の損失、信頼回復のコストは、平時の対策費を大きく上回ります。攻撃者は規模で標的を選びません。最低限、脆弱性管理・改ざん検知・カード情報の非保持化から着手することを推奨します。
Q. PCI DSSとは何ですか。中小ECも対象ですか。 PCI DSSは、カード情報を取り扱う事業者が守るべき国際的なセキュリティ基準です。日本ではカード情報を扱うEC事業者に対し、カード情報の非保持化またはPCI DSS準拠が求められています。規模にかかわらず、自社の決済構成がどの要件に該当するかを決済代行・カード会社に確認してください。
この記事を読むべき人
- 自社でECサイト・オンラインショップを運営している経営者・EC事業責任者
- ECサイトの保守・運用を担当する情シス・Web担当者(中小企業)
- 古いカート・決済システムを使い続けており、リプレースを検討している事業者
- サイト制作・保守を外部委託しており、セキュリティの実態を把握できていない事業者
いつGXOに相談すべきか
- 自社ECの決済ページが改ざんされていないか、専門的に点検したい
- CMS・カート・プラグインの脆弱性を診断し、攻撃の侵入経路を塞ぎたい
- カード情報の取り扱い構成(非保持化・PCI DSS準拠)を見直したい
- 万一の漏えいに備え、平時からインシデント対応体制を整えておきたい
GXOでは、Webサイトの脆弱性診断を起点に、決済ページの保全、改ざん検知、カード情報の取り扱い見直しまでを支援する。ECの構成自体に課題がある場合は、小売・EC領域のDXとして、決済まわりを含めたシステムの再設計を一緒に検討できる。継続的に守りを固めたい事業者には、月額で専門家が伴走するセキュリティ顧問サービスも用意している。
本記事の点検項目は、EC決済ページ・改ざん検知チェックリストとして無料ダウンロードできる。情シス・保守委託先との確認や社内稟議の添付資料に活用してほしい。
関連リンク
関連記事
- 漏えい公表の24時間以内の意思決定フロー
- Smart Slider 3|WordPressプラグインのサプライチェーン攻撃でRAT感染
- 個人情報の漏えい等報告が過去最多|報告義務の実務と速報・確報の手順
参考資料
- 佐嘉平川屋「不正アクセスによる個人情報漏えいのお詫びとご報告」 https://www.saga-hirakawaya.jp/security-notice/
本記事は2026年6月25日時点の公開情報をもとに作成。被害件数・日付は佐嘉平川屋の公式公表値に基づく。逮捕に関する記述は報道に基づく。最終的な被害範囲は調査により変動する可能性があるため、最新の公式発表を確認すること。自社の決済構成・PCI DSS該当範囲は、決済代行会社・カード会社に確認すること。
自社ECの決済ページ、改ざんされていないか点検しませんか
GXOでは、Webサイトの脆弱性診断を起点に、決済ページの保全・改ざん検知・カード情報の取り扱い見直しまでを支援します。中小ECの構成にも対応します。
※ ECの構成図がなくても相談可 | 経営・EC担当・情シス・制作委託先の同席歓迎
