セキュリティニュース

田中屋本店 ペイメント改ざんでカード情報677件流出か 個人情報は5610件

笹だんご製造販売の田中屋本店(新潟県新潟市江南区)は、同社が運営する「田中屋本店オンラインショップ」が第三者による不正アクセスを受け、クレジットカード情報677件および個人情報5610件が漏えいした可能性があると発表した。システムの一部の脆弱性を突かれ、ペイメントアプリケーションが改ざんされたという。クレジットカード決済は現在停止中で、再開時期は未定だ。

不正アクセスによる個人情報漏えいのお詫びとご報告(田中屋本店公式サイト)より引用

【3行要約】

何が起きた:システム脆弱性を突かれペイメントアプリケーションを改ざんされ、カード情報677件、個人情報5610件が流出した可能性

影響:カード情報は2025年3月14日~9月30日の利用者、個人情報は2022年7月21日~2025年8月12日の登録・注文者が対象

対応:クレジットカード決済を停止。カード会社に不正利用監視を依頼。個人情報保護委員会と新潟県警に報告

わかっていること・わかっていないこと

✓ わかっていること

  • 流出可能性のあるカード情報:677件(カード番号、有効期限、セキュリティコード、カード名義人名)
  • 流出可能性のある個人情報:5610件(氏名、生年月日、性別、住所、電話番号、メールアドレス)
  • カード情報の対象期間:2025年3月14日~9月30日
  • 個人情報の対象期間:2022年7月21日~2025年8月12日
  • 原因:システムの一部の脆弱性を利用した不正アクセス、ペイメントアプリケーションの改ざん
  • 2025年8月12日に改ざんを解消
  • 2025年9月30日にクレジットカード決済機能を停止
  • 2025年9月25日に公表
  • 2026年1月13日に対象者へ個別通知開始
  • 個人情報保護委員会、新潟県警察本部サイバー犯罪対策課に報告済み
  • 同社はカード情報を保存していない
  • 直営店店頭のカード決済は別システムのため影響なし

? わかっていないこと

  • 不正アクセスの開始時期
  • 実際に流出した件数(可能性の範囲のみ公表)
  • 不正アクセスの検知日時
  • 脆弱性の具体的内容
  • クレジットカード決済再開時期

ペイメントアプリケーションを改ざん

田中屋本店によると、同社が運営する「田中屋本店オンラインショップ」のシステムの一部に脆弱性があり、これを利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたという。

同社は従来、緊急または重大な脆弱性を認める箇所はないと認識していたが、今回の事案を受けて調査した結果、一部システムに脆弱性があったことが判明した。

カード情報677件、個人情報5610件

流出した可能性があるクレジットカード情報は677件で、カード番号、有効期限、セキュリティコード、カード名義人名が含まれる。対象期間は2025年3月14日から同年9月30日までで、この期間に同オンラインショップでクレジットカード決済を利用した顧客が該当する。

個人情報は5610件で、氏名、生年月日、性別、住所、電話番号、メールアドレスが含まれる。対象期間は2022年7月21日から2025年8月12日までで、この期間に同オンラインショップで注文または会員登録した全ての顧客が対象となる。

同社はクレジットカード情報を自社データベースに保存する仕組みにはなっていないとしている。

対象期間が異なる理由

クレジットカード情報と個人情報で対象期間が異なる点について、同社は次のように説明している。個人情報については、2025年8月12日に不正アクセスによる改ざんを解消して以降、漏えいは確認されていない。一方、クレジットカード情報については、リスク管理の観点から同年9月30日に決済機能を停止したことに伴い、その期間までを対象としたという。

カード会社に不正利用監視を依頼

同社は不正利用防止のため、クレジットカード会社による監視システムで、漏えいした可能性のあるクレジットカードの取引モニタリングを依頼している。

カード会社が不正利用と判断した場合、顧客に負担をかけないよう同社が負担するとしている。また、カードの再発行手数料についても、顧客負担にならないようカード会社に依頼したという。

同社は顧客に対し、カード利用明細を確認し、不審な請求があればクレジットカード裏面に記載のカード会社へ問い合わせるよう求めている。

クレジットカード決済は停止中

田中屋本店オンラインショップでは、現在クレジットカード決済が利用できない状態だ。代引き、コンビニ支払い、Amazon Payなど、その他の決済方法は利用可能としている。

同社は現在、セキュリティ対策と監視体制の強化を進めており、クレジットカード決済の再開については、安全性を最優先に準備を行ったうえで、決定次第サイト上で案内するとしている。

なお、同社直営店店頭のクレジットカード決済については、オンラインショップとは全く異なるシステムを採用しているため、影響はなく利用可能だという。

2026年1月13日に個別通知

同社は2025年9月25日に本件を公表し、その後、個人情報が漏えいした可能性のある顧客に対して、2026年1月13日に電子メールで個別にお詫びとお知らせを送付した。電子メールが届かなかった顧客や登録のない顧客には、書状で連絡するとしている。

警察と個人情報保護委員会に報告

同社は監督官庁である個人情報保護委員会、新潟県警察本部生活安全部サイバー犯罪対策課にも被害報告を実施したとしている。

笹だんご製造の老舗

田中屋本店は新潟県の笹だんご製造販売の老舗企業。本社は新潟県新潟市江南区江口にある。越後名物の笹だんごをはじめとする和菓子を製造・販売し、オンラインショップでも全国に商品を提供している。

タイムライン

日付 出来事
2022年7月21日 個人情報漏えい対象期間開始
2025年3月14日 クレジットカード情報漏えい対象期間開始
2025年8月12日 不正アクセスによる改ざんを解消(個人情報漏えい対象期間終了)
2025年9月30日 クレジットカード決済機能を停止(カード情報漏えい対象期間終了)
2025年9月25日 公表
時期不明 個人情報保護委員会、新潟県警察本部サイバー犯罪対策課に報告
2026年1月13日 個人情報漏えい対象者へ電子メールで個別通知開始
現在 クレジットカード決済停止中。セキュリティ対策強化を実施中

問い合わせ窓口

同社は本件に関する問い合わせ窓口を設置した。

田中屋本店オンラインショップ お客様相談窓口
電話番号:0120-987-151(フリーダイヤル)
受付時間:10:00~17:00(土日祝日を除く)
メール:customerdata@dangoya.com

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,