ボンフォーム ECサイトに不正アクセスカード情報3,463件流出か

株式会社ボンフォームは4月27日、運営するECサイト「ボンフォームオンラインストア」が第三者の不正アクセスを受け、利用客のクレジットカード情報3,463件と個人情報735件が漏洩した可能性があると発表した。決済ページに使用していたJavaScriptが改ざんされ、2021年3月25日から2024年11月8日までの約3年8カ月にわたり情報が外部に流出した恐れがある。同社は2026年1月16日にサイト稼働を停止し、第三者機関の調査を経て今回の公表に至った。

要点

見出し

1 要点
2 わかっていること／わかっていないこと
- 2.1 わかっていること
- 2.2 わかっていないこと
3 事案の経緯
- 3.1 影響を受ける可能性のある利用者
- 3.2 原因と再発防止
4 事案のタイムライン
5 問い合わせ窓口

何が起きた──同社ECサイトの決済ページJavaScriptが改ざんされ、入力されたカード情報などが外部に送信された可能性が判明した。

影響──漏洩したとみられる情報はカード情報3,463件（対象者3,268人）と、ECサイトの認証情報735件。セキュリティコードを含む。

対応──サイトを停止し、警察と個人情報保護委員会に通報。カード会社と連携して不正利用のモニタリングを続けている。

わかっていること／わかっていないこと

わかっていること

・漏洩の可能性がある期間は2021年3月25日から2024年11月8日まで

・原因はサイトの一部脆弱性を突いた不正アクセスによる決済ページJSの改ざん

・対象情報はカード名義人名、番号、有効期限、セキュリティコード

・別途735人分のメールアドレス、パスワード、電話番号も流出した可能性あり

・個人情報保護委員会には1月19日、所轄警察署には1月16日に報告済み

わかっていないこと

・侵入経路の詳細（同社は「システムの一部の脆弱性」とのみ説明）

・実際にカード情報が不正利用された件数や被害総額

・カード情報を入力したが購入に至らなかった利用者の対象カード番号（同社は特定できていないとしている）

・「ボンフォームオンラインストア」の再開日

事案の経緯

同社の発表によると、最初の連絡は2026年1月14日。一部のクレジットカード会社から、同社サイトの利用者についてカード情報の漏洩懸念があると伝えられた。これを受け同社は1月16日にECサイトの稼働を停止し、同日付で所轄警察署に被害申告。1月19日には個人情報保護委員会へ報告した。

第三者調査機関による調査は2月19日に完了し、決済ページのJavaScriptが改ざんされていた事実と、対象期間に購入した利用者のカード情報が漏洩・不正利用された可能性が確認された。発表まで約3カ月を要した点について同社は、不確定な情報の公表が混乱を招くと判断し、調査結果の確定とカード会社との連携体制が整うまで公表を控えたとしている。

影響を受ける可能性のある利用者

クレジットカード決済をしていた3,268人については、カード名義人名、カード番号、有効期限、セキュリティコードが漏洩した恐れがある。クレジットカード業界のセキュリティ基準「PCI DSS」では加盟店側でセキュリティコードを保存することが禁じられており、決済時にリアルタイムで情報を窃取する手口が用いられたとみられる。

会員情報でログインしてカード決済をしていた735人については、メールアドレス、パスワード、電話番号も流出した可能性がある。同一のパスワードを他サイトで使い回している場合、別サービスでの不正ログインにも警戒が必要だ。

原因と再発防止

原因は、ECサイトの一部の脆弱性を突いた第三者の不正アクセスにより決済ページのJavaScriptが改ざんされたこと。決済画面に不正なスクリプトを仕込んでカード情報を抜き取る手口は、ECサイトを狙った典型的な攻撃の一つで、国内でも被害が後を絶たない。

同社は、漏洩の起因となったシステムの利用は既に終了しており、現行システムでは漏洩がないことを確認したとしている。今後はセキュリティ対策と監視体制の強化を進めて再発防止を図る方針で、サイトの再開時期は未定。決定次第ウェブサイトで案内するという。

事案のタイムライン

2026年1月14日

カード会社から情報漏洩懸念の連絡を受領

2026年1月16日

ECサイトの稼働を停止／所轄警察署に被害申告

2026年1月19日

個人情報保護委員会へ報告

2026年2月19日

第三者調査機関による調査が完了

2026年4月27日

事実関係を公表

問い合わせ窓口

同社は専用の相談窓口を設けている。電話は0120-195-025（平日9時〜17時、土日祝を除く）、メールはhpinfo2026@bonform.co.jp。問い合わせ集中に備え、FAQページも開設している。カード再発行の手数料は、特定済みのカード情報については利用者負担とならないようカード会社と調整中で、利用者負担を案内された場合は同窓口へ連絡するよう求めている。