- ホーム
- 記事一覧
- 情報セキュリティの記事一覧
- 情報漏洩の事例まとめ【2026年最新版】ECサイトの国内・海外13事例と原因・対策を解説
情報漏洩の事例まとめ【2026年最新版】ECサイトの国内・海外13事例と原因・対策を解説
「自社のECサイトは大丈夫だろうか」——クレジットカード情報の流出やランサムウェア被害のニュースを見るたびに、そう不安になるEC・Web担当者は少なくありません。情報漏洩はもはや一部の大企業だけの問題ではなく、中小規模のショップでも日常的に発生しています。
本記事では、情報漏洩の事例を国内・海外あわせて15件、件数・公表日・出典つきで網羅し、なぜ漏洩が後を絶たないのかを攻撃手口から解き明かします。さらに、ECサイトが今すぐ取るべき対策と、見落とされがちなWebスキミング(クライアントサイド攻撃)への備えまで、2026年の最新動向を踏まえて解説します。
- 情報漏洩とは、企業が保有する個人情報やクレジットカード情報などが、外部の攻撃や内部の過失により意図せず外部へ流出すること
- ECサイトのカード情報漏洩で最も多い手口はWebスキミング(約35%)。WAFだけでは防げないクライアントサイドの脅威
- 2025〜2026年も駿河屋(3万431件)・KADOKAWA(25万人超)・イセトー(307万人超)など大規模事例が続発
- 対策は「技術的対策」と「組織的対策」の両輪。特に決済ページのスクリプト監視が今の必須要件
- Spider AF SiteScanでブラウザ上の不審なスクリプトをリアルタイム検知し、カード情報の窃取を防止できる
情報漏洩とは
情報漏洩とは、企業や組織が保有する個人情報・クレジットカード情報・機密情報などが、サイバー攻撃や内部の過失によって意図せず外部に流出する事象を指します。特にECサイトでは、決済時に入力されるクレジットカード情報が狙われやすく、流出すると不正利用・なりすまし・二次被害へと連鎖します。情報セキュリティ事故のなかでも、被害規模と社会的影響が大きいのがこの情報漏洩です。
近年は手口が巧妙化し、サーバーへの侵入だけでなく、利用者のブラウザ上で動く決済スクリプトを書き換える「クライアントサイド攻撃」が急増しています。まずは実際にどのような漏洩が起きているのか、国内・海外の事例から見ていきましょう。
国内ECサイト・企業の情報漏洩 事例10選(最新)
国内では、ネットショップのカード情報流出から、業務委託先を経由した大規模漏洩まで、業種・規模を問わず発生しています。ここでは公表件数・公表日・原因の明確な代表的な10事例を、新しいものから紹介します。各事例は公式発表・報道に基づきます。
1. 駿河屋(クレジットカード情報3万431件/2025年12月公表)
中古・新品通販「駿河屋.JP」を運営する株式会社エーツーは、2025年12月4日、第三者による不正アクセスでクレジットカード情報3万431件、個人情報2万9,932人分が漏洩した可能性があると公表しました。監視ツールの脆弱性を突かれ、決済ページ用のJavaScriptが改ざんされた(=Webスキミング型)ことが原因で、漏洩対象期間は2025年7月23日〜8月8日です。(出典:株式会社駿河屋 公式お知らせ、ITmedia NEWS 2025年12月4日)
発覚後は対象期間の決済サービスを一時停止し、外部フォレンジック会社による調査を実施。対象顧客へ個別通知とカード会社への情報共有を行い、個人情報保護委員会へ報告しました。再発防止策として決済システムの見直しと監視体制の強化を実施しています。
2. 医学書専門ECサイト(Webスキミングで13,433名分/2025年)
2025年4月、医学書専門のECサイトがWebスキミングにより13,433名分の個人情報を漏洩。カード番号・名義人・有効期限・セキュリティコードなどが流出した可能性があり、サイトは一時閉鎖して監視体制を強化しました。(出典:各社セキュリティレポート 2025年)
3. KADOKAWA/ドワンゴ(25万4,241人分/2024年公表)
2024年6月のランサムウェア攻撃を受け、KADOKAWAは2024年8月5日に25万4,241人分の個人情報流出を公表しました。従業員アカウントの窃取が端緒とされ、ニコニコ動画など複数サービスの長期停止に発展した大規模事例です。(出典:株式会社KADOKAWA ニュースリリース 2024年8月5日、ITmedia NEWS)
攻撃発覚後、ニコニコ動画をはじめとするグループサービスを約2ヶ月にわたり停止し、外部セキュリティ専門家とともに原因究明を実施。流出対象者への個別通知と個人情報保護委員会への報告を行い、再発防止としてクラウドへの全面移行とセキュリティ体制の強化を表明しました。
4. 業務委託先イセトー(307万6,477人分/2024年)
印刷・発送業務を請け負う株式会社イセトーがランサムウェア攻撃を受け、金融機関や自治体など委託元の個人データ307万6,477人分が漏洩しました。委託先経由(サプライチェーン)での大規模漏洩の典型で、公文教育研究会だけでも73万9,714名分が含まれます。(出典:株式会社イセトー お知らせ 2024年、日経クロステック)
攻撃発覚後、イセトーは委託元企業(公文教育研究会・金融機関・自治体等)に順次通報し、各委託元が被害者への個別通知を実施しました。個人情報保護委員会への報告も行われ、イセトーは業務を一時停止してシステムの全面見直しを余儀なくされました。委託先のインシデントでも委託元企業が対応主体となる点が、サプライチェーン被害の難しさを示しています。
5. JFおさかなマルシェ ギョギョいち(カード情報11,844件)
全国漁業協同組合連合会の海産物ECサイトで、クロスサイトスクリプティング(XSS)の脆弱性を突かれ、クレジットカード情報11,844件・会員情報21,728件が漏洩。漏洩期間は2021年4月22日〜2024年5月14日と約3年に及びました。(出典:JF全漁連 公式発表)
警視庁から「プログラム改ざんと情報漏洩の懸念」の連絡を受けた2024年5月14日に即日サイトを閉鎖。翌5月15日に個人情報保護委員会へ速やかに報告し、警視庁へも被害届を提出しました。カード会社と連携した不正利用モニタリングを継続し、対象カードの再発行手数料はJF全漁連が全額負担。同サイトは2024年10月7日に閉店しています。
6. SNKRDUNK(スニーカーダンク/約275万件)
スニーカーフリマを運営する株式会社SODAは2022年6月15日、不正なリクエストにデータベースの内容を含めて応答していたことが原因で、顧客情報2,753,400件が漏洩した可能性があると公表しました。(出典:スニーカーダンク 公式お知らせ)
7. e-ながさきどっとこむ(カード情報18,746件)
地域ECサイトの改ざんにより、クレジットカード情報18,746件、会員情報60,350件、届け先情報78,840件が流出しました。サイト改ざん型(Webスキミング)の代表例です。
8. ANGLERSオンラインショップ(約20万件)
釣具量販チェーンを運営する株式会社大藤つり具は、社内VPN装置を突破口としたランサムウェア攻撃を受け、2018年3月〜2023年11月にDMを送付した顧客約20万件の会員番号・氏名・住所・生年月日・電話番号などが流出したおそれがあると公表しました。
9. タリーズコーヒージャパン オンラインストア(カード情報52,958件)
不正アクセスによりオンラインストアが改ざんされ、クレジットカード情報52,958件が漏洩した可能性が公表されました。プラットフォームシステムへの不正アクセスによりサイトのURLが改ざんされ、決済画面で入力した顧客情報が外部から閲覧可能な状態になった事例です。(出典:タリーズコーヒージャパン 公式お知らせ 2024年10月)
発覚後すぐにカード決済を停止し、オンラインストアを一時閉鎖。カード会社と連携した不正利用モニタリングを実施し、対象顧客へ個別メール・郵送で通知しました。カード再発行手数料は全額タリーズ負担とし、WAF強化・24時間監視・定期脆弱性診断などの再発防止策を導入しています。
10. 一撃オフィシャルショップ(7,455件)/その他の中小EC
「一撃オフィシャルショップ(7,455件被害)」「健康いきいきライフスタイル(5,193件)」「東京ヴェルディ公式オンラインストア(2,726件)」「マルカワみそ公式サイト(5,447件)」「カンコーオンラインショップ(3,894件)」など、中小規模のECサイトでも数千件単位の漏洩が相次いでいます。規模の大小にかかわらず、カード情報を扱う以上は標的になり得ます。
海外ECサイト・企業の情報漏洩 事例(大規模)
海外では桁違いの規模の漏洩が発生しています。攻撃手法やトレンドは数年遅れで国内にも波及するため、海外事例は国内ECにとって「次に来る脅威」の予兆として重要です。ここでは2025〜2026年の最新事例を中心に5件を紹介します。
11. Ticketmaster(約5.6億件/2024年)
2024年5月、Ticketmasterはクラウドデータベース(Snowflake環境)への不正アクセスにより、顧客情報が大規模に流出した可能性があると報じられました。ハッカー集団ShinyHuntersは約5億6,000万件の流出を主張していますが、Ticketmaster/Live Nation側は件数を公式には確認していません。多要素認証が設定されていないアカウントが、インフォスティーラー(情報窃取型マルウェア)で窃取された認証情報を悪用されたとされます。(出典:Trend Micro News、NPR 2024年)
12. JD Sports(約1,000万件/2023年公表)
英スポーツ用品大手JD Sportsは2023年1月、不正アクセスにより約1,000万件の顧客の注文・配送情報・氏名・メールアドレス・カード下4桁などが流出した可能性を公表しました。対象は2018年11月〜2020年10月の注文データで、パスワードや決済情報本体は含まれていません。大手ECでも、過去の注文データの長期保管が漏洩リスクになることを示す事例です。
13. Avery Products(クレジットカード情報61,193件/2025年1月公表)
米ラベルメーカー大手Avery Products Corporationは2025年1月、自社ECサイト(avery.com)にWebスキミングマルウェアが約5ヶ月間(2024年7月〜12月)にわたって設置されていたと公表しました。チェックアウト時に顧客が入力したクレジットカード番号・有効期限・CVV・氏名・請求先住所など61,193件分が外部サーバーへ流出した可能性があります。コードは難読化されており発見が遅れた点が特徴で、WAFを導入していても検知できないクライアントサイド攻撃の典型例です。(出典:BleepingComputer 2025年1月、Malwarebytes 2025年1月)
14. Louis Vuitton(LVMHグループ)(419,000件以上/2025年6〜7月)
高級ブランドLouis Vuitton(LVMHグループ)は2025年6〜7月、不正アクセスにより顧客419,000件以上の個人情報が漏洩したと公表しました。被害は韓国・トルコ・英国・イタリア・スウェーデン・北米など複数国に及び、氏名・連絡先・住所・生年月日・パスポート番号等が対象です。クレジットカード等の金融情報は含まれていませんが、ラグジュアリー小売業もサイバー攻撃の標的になることを示した事例です。同時期にCartier(Richemontグループ)など他の高級ブランドでも漏洩が相次いでおり、高級ブランドを狙った攻撃キャンペーンとの見方があります。(出典:SecurityWeek 2025年7月、SecurityAffairs)
15. Magecart / Magento拡張機能へのサプライチェーン攻撃(2025年)
2025年4〜5月、ECプラットフォームMagento向けのTigren・Meetanshi・MGSなどサードパーティベンダーが販売する21個の商用拡張機能に、2019〜2022年頃に仕込まれ休眠していたバックドアが一斉に活性化し、全世界で500〜1,000のECサイトが侵害される大規模なサプライチェーン攻撃が発覚しました。正規の拡張機能・タグ経由で侵入されるため、自社のコードだけを点検しても気づけないのが特徴です。(出典:Sansec、The Hacker News 2025年5月)
なぜECサイトの情報漏洩は後を絶たないのか|5つの攻撃手口
事例を分類すると、漏洩の背後には共通する攻撃手口があります。ECサイトのカード情報漏洩では、決済画面を狙うWebスキミング(約35%)が最多で、以下SQLインジェクション約22%、アカウントリスト攻撃約18%、内部不正約12%、XSS約8%と続きます(Spider AFが国内外の公表事例を独自に分類した参考値)。根本原因となる5つの手口を押さえましょう。
1. Webスキミング(クライアントサイド攻撃)— 最大の脅威
Webスキミングとは、ECサイトの決済ページに不正なJavaScriptを埋め込み、利用者が入力したクレジットカード情報をリアルタイムで外部サーバーへ盗み出す手口です。「Magecart(メイジカート)」と呼ばれる攻撃者グループが代表的で、駿河屋やe-ながさきどっとこむ、医学書ECの事例もこの型に該当します。
恐ろしいのは、サイト側の見た目や動作は正常なまま、利用者のブラウザ上だけで情報が抜き取られる点です。不正スクリプトは難読化され、管理者のアクセス時には自らを消すものもあるため、サーバーログを見ても異常を発見しにくいのが特徴です。手口の詳細は関連記事で解説しています。
関連記事:Webスキミングの仕組みとは?事例から学ぶ手口と最新対策/フォームジャッキング対策ガイド|手口・事例と防御策
2. Webアプリケーションの脆弱性(SQLインジェクション・XSSなど)
入力フォームやURLパラメータの処理に不備があると、SQLインジェクションでデータベースを直接読み出されたり、XSSで不正スクリプトを実行されたりします。JFおさかなマルシェの事例はXSSが突かれたケースです。CMSや拡張機能を最新に保たないと、既知の脆弱性が放置され侵入口になります。
3. 流出済みID・パスワードの悪用(アカウントリスト攻撃)
他サービスから流出したID・パスワードのリストを使い、自動で大量ログインを試みる攻撃です。利用者がパスワードを使い回していると、一つの漏洩が連鎖的に被害を広げます。多要素認証が未設定だと突破されやすくなります。
4. セキュリティ設定不備・人的ミス(内部要因)
アクセス権限の設定ミス、クラウドストレージの公開設定の誤り、メール誤送信などの人的ミスも漏洩の主要因です。攻撃を受けなくても、設定一つで大量の個人情報が外部から閲覧可能になるケースがあります。
5. サプライチェーン攻撃(委託先・拡張機能経由)
業務委託先や、サイトに組み込んだ外部タグ・拡張機能が侵害され、そこを起点に被害が波及します。イセトーの事例(委託先経由で307万人超)や、Magento拡張機能へのバックドア混入(2025年)が典型です。自社のセキュリティが万全でも、つながっている第三者経由で漏洩し得ます。
- WAFやCSPはサーバーへの不正リクエストを防ぐが、ブラウザ上で実行されたスクリプトの内部挙動は監視できない
- 正規の決済タグ・分析タグが改ざんされる「クライアントサイド攻撃」「サプライチェーン攻撃」にはWAFは無効
- カード情報を扱うECは、決済ページで動くスクリプトをリアルタイム監視する仕組みが追加で必要
ECサイトの情報漏洩を防ぐ対策|技術的対策と組織的対策
情報漏洩対策は、システムを守る「技術的対策」と、人と仕組みを整える「組織的対策」の両輪で進めます。どちらか一方では穴が残ります。体系的な対策の進め方は対策専門の記事で詳述していますので、ここでは事例から導かれる優先度の高い項目を整理します。
関連記事:企業が行うべき情報漏えい対策4選|流出はいつ起こるのか
技術的対策(システム面)
| 対策 | 目的・防げる脅威 | 実装ポイント |
|---|---|---|
| WAF導入 | SQLインジェクション・XSSなどサーバーへの不正リクエストを遮断 | まず導入すべき基本対策。ただしブラウザ上で動くWebスキミングには効果がないため、クライアントサイド対策と併用が必須。 |
| OS・CMS・拡張機能の最新化 | 既知の脆弱性・サプライチェーン攻撃の侵入口を塞ぐ | Magento拡張機能バックドア事件(2025年)のように、更新を怠った拡張機能が侵入経路になる。自動更新の設定と使用プラグインの棚卸しを定期実施。 |
| 脆弱性診断 | 潜在的な弱点を定期的に洗い出す | 外部の専門業者またはスキャンツールによる定期診断(年1〜2回)が目安。PCI DSS準拠にも必須要件として定められている。 |
| 多要素認証(MFA) | アカウントリスト攻撃・不正ログインを防止 | 管理画面・従業員アカウントへの導入を優先。Ticketmaster漏洩(約5.6億件)も多要素認証が未設定のアカウントが突破口とされた。 |
| EMV 3-Dセキュア | なりすましによるカード不正利用を抑止 | 経済産業省が2025年3月までに全EC加盟店への導入を義務化。未導入はカード会社との契約違反になりうるため早急な対応が必要。 |
| カード情報の非保持化 | 自社でカード情報を持たず漏洩時の被害を最小化 | 外部決済サービス(PSP)へのトークン決済移行が最も確実。カード情報を保持しなければ、サイトが侵害されても決済情報の流出がない。 |
| クライアントサイドのスクリプト監視 | Webスキミング・タグ改ざんをリアルタイム検知(WAFでは防げない領域) | 駿河屋・Avery等の事例はいずれもブラウザ上でのスクリプト改ざんが原因。決済ページで動く全スクリプトの挙動を監視する仕組みが今の必須要件。 |
組織的対策(人・仕組み面)
- セキュリティポリシーの策定取り扱う情報の分類とアクセス権限のルールを文書化する。「誰が何にアクセスできるか」を明確にするだけで内部起因の漏洩リスクが大幅に下がる。
- 従業員教育フィッシング・誤送信など人的ミスを減らす定期研修を実施する。標的型メールの実地訓練や、個人情報の取り扱い手順の周知徹底が有効。
- インシデント対応体制の構築漏洩発生時の初動手順・社内連絡フロー・当局への報告プロセスを事前に文書化する。発覚後の対応速度が二次被害と信頼損失を左右する。
- 委託先管理イセトー事例(委託先経由で307万人超)のように、自社のセキュリティが万全でも委託先が突破口になりうる。契約書へのセキュリティ要件明記と定期的な管理状況の確認が必要。
- 情報管理の徹底アクセス権限を業務上必要な範囲に絞り(最小権限の原則)、操作ログを保全する。退職者アカウントの即時削除も忘れずに。
見落とされがちなクライアントサイド対策とSpider AF SiteScan
事例の多くを占めるWebスキミングは、利用者のブラウザ上(クライアントサイド)で起きるため、従来のサーバーサイド対策(WAF・CSPなど)では検知しきれません。駿河屋の事例のように、正規の決済スクリプトが書き換えられても、サイトの表示は正常なまま情報だけが抜き取られます。ここが多くのECサイトの盲点です。
この領域に対し、Spider AFは「SiteScan」を提供しています。SiteScanはサイト上で動くすべてのタグ・JavaScriptの挙動をリアルタイムに監視し、決済情報を外部へ送信しようとする不審なスクリプトや、改ざん・サプライチェーン経由の脅威を検知・可視化します。URLを入力するだけで最短30秒で簡易診断が可能です。
関連記事:Webサイトセキュリティ診断とは?無料ツール・費用相場・選び方/Webサイト改ざん検知とは?仕組み・対策・ツール選定
万が一情報漏洩が発生したら|インシデント対応5ステップ
漏洩は「起こらないようにする」だけでなく「起きたときに被害を最小化する」備えが重要です。発生時は以下の順で対応します。
- 1初動対応(封じ込め)被害拡大を止めるため該当機能・決済を即時停止し、影響範囲の証拠を保全する。ログの消去・上書きを防ぐことが最優先。
- 2原因調査(根絶)外部フォレンジック会社に依頼し、侵入経路・漏洩範囲・対象件数を特定する。原因の根絶が確認されるまでサービス再開は行わない。
- 3復旧セキュリティ対策の実施と安全確認を経てシステムを復旧する。PCI DSS準拠が求められる場合は、カード会社の承認を得てから再開。
- 4関係各所への報告・通知個人情報保護委員会への報告(義務)、カード会社・アクワイアラへの連絡、被害者への個別通知を速やかに実施する。遅延は行政処分や制裁金につながる。
- 5事後対応(再発防止)恒久的なセキュリティ対策を実施し、監視体制を強化する。再発防止策の報告をカード会社・委員会へ提出することが求められる場合がある。
ECサイト利用者向け|自分の個人情報を守る3つの自己防衛策
- パスワードの使い回しを避けるサービスごとに異なる強固なパスワードを設定し、パスワード管理ツールを活用する。一つのサービスから漏洩したパスワードが他サービスへの不正ログインに使われる「リスト型攻撃」を防ぐ。
- 多要素認証(MFA)を設定するID・パスワードが漏洩しても、SMS認証や認証アプリがあれば不正ログインを防げる。設定できるサービスでは必ず有効にする。
- フィッシング・不審な請求に警戒する不審なメール・SMSのリンクは開かず、公式サイトへ直接アクセスする習慣をつける。クレジットカードの利用明細を月1回以上確認し、身に覚えのない請求はすぐカード会社へ連絡。
💡 メールアドレスやパスワードが過去の漏洩に含まれていないかを「Have I Been Pwned」などのチェックサービスで確認できます。定期的にチェックする習慣をつけると安心です。
まとめ|情報漏洩は「他人事」ではない
2025〜2026年の事例が示すとおり、情報漏洩は大企業から中小ECまで規模を問わず発生しており、その多くがブラウザ上で動くWebスキミング(クライアントサイド攻撃)によるものです。WAFや脆弱性診断といった従来の対策に加え、決済ページのスクリプトをリアルタイム監視する仕組みが、いまのECサイトの必須要件になっています。
「自社のサイトは大丈夫か」を確かめる第一歩として、まずは現状を可視化しましょう。クライアントサイドの脅威対策は、Spider AF SiteScanの無料診断から始められます。
情報漏洩の事例・対策に関するよくある質問
Q1. 情報漏洩の事例で最も多い原因は何ですか?
ECサイトのカード情報漏洩に限ると、最も多い手口はWebスキミング(決済画面に不正なJavaScriptを仕込みカード情報を直接盗む手口)で全体の約35%を占めるとされます。次いでSQLインジェクション約22%、アカウントリスト攻撃約18%、内部不正約12%、XSS約8%と続きます。サーバー側だけでなくクライアントサイドの対策が不可欠です。
Q2. 2025年から2026年にかけての代表的な情報漏洩の事例は?
国内では、駿河屋(株式会社エーツー)が2025年12月4日にクレジットカード情報3万431件・個人情報2万9,932人分の漏洩可能性を公表しました。決済ページ用JavaScriptの改ざんが原因です。ほかにKADOKAWAのランサムウェア被害(25万4,241人分)、業務委託先イセトーの被害(307万6,477人分)などが大規模事例です。海外ではTicketmasterの約5.6億件(2024年)が代表的です。
Q3. Webスキミング(クライアントサイド攻撃)はWAFで防げますか?
防ぎきれません。WAFやCSPはサーバーへの不正リクエストを遮断しますが、一度許可されてブラウザで実行されたJavaScriptの内部挙動までは監視できません。正規の決済タグや分析タグが改ざんされ、入力されたカード情報を外部送信するクライアントサイド攻撃には、ブラウザ上のスクリプトをリアルタイム監視するSpider AF SiteScanのようなソリューションが有効です。
Q4. 情報漏洩が起きると企業はどのような損害を受けますか?
直接的にはフォレンジック調査費用、被害者への通知・補償、決済停止による売上機会損失が発生します。間接的には、信頼失墜によるブランド毀損、顧客離反、株価下落、取引先からの監査・契約見直しといった長期的影響が続きます。クレジットカード情報の漏洩では決済が長期間停止し、再開にPCI DSS準拠の証明などが求められるため、事業継続への打撃となります。
Q5. ECサイトの情報漏洩を防ぐために今すぐできることは?
技術面ではWAF導入、OS・CMS・拡張機能の最新化と脆弱性診断、多要素認証(MFA)、EMV 3-Dセキュア、カード情報の非保持化、そしてクライアントサイドのスクリプト監視が基本です。組織面ではセキュリティポリシー策定、従業員教育、インシデント対応体制、委託先管理が重要です。特にカード情報を扱うサイトは、決済ページに不正スクリプトが仕込まれていないかを継続監視する仕組みを優先すべきです。
▶︎▶︎【無料】2026年アドフラウド調査レポート(通年版)公開中◀︎◀︎
Spider AFが60億件超のクリックデータを解析した結果、アドフラウドの推定被害額は年間1,591億円超(前年比+82億円)に達することが判明しました。
さらに、AI最適化配信における不正率は最大5.2%と媒体内平均の約2倍。MFA(広告収益目的サイト)は前年比1,409%と異常増殖しており、広告予算が意図しない配信先に流出するリスクが急拡大しています。
レポートでは、AI広告時代の新たな脅威と具体的な対策を、最新データとともに無料で公開しています。
- ホーム
- 記事一覧
- 情報セキュリティの記事一覧
- 情報漏洩の事例まとめ【2026年最新版】ECサイトの国内・海外13事例と原因・対策を解説
.png)









