セキュリティニュース

ジャストカーテン運営インテリックス 不正アクセスで約6万件の個人情報漏洩か カード情報1万件超も

カーテン専門店「ジャストカーテン」のオンラインショップを運営する株式会社インテリックスは26日、同サイトが第三者による不正アクセスを受け、顧客の個人情報約6万1千件およびクレジットカード情報約1万件が漏洩した可能性があると発表した。システムの脆弱性を突いた不正アクセスによりペイメントアプリケーションが改ざんされたという。2025年5月21日にカード会社から連絡を受けて発覚し、同月26日にクレジット決済を停止して調査を開始。8月18日に調査が完了したが、公表は約8カ月後の2026年1月26日となった。同社は個人情報保護委員会に報告済みで、警察にも被害申告している。

【3行要約】

何が起きた:ジャストカーテンオンラインショップが不正アクセス被害。個人情報約6万1千件、クレジットカード情報約1万件が漏洩の可能性

影響:2024年4月~2025年5月にカード決済利用の顧客1万423名、2019年6月~2025年5月に購入・登録した顧客6万663名が対象

対応:2025年5月にカード決済停止。調査完了後の2026年1月に公表。個人情報保護委員会に報告、警察に被害申告済み

わかっていること・わかっていないこと

✓ わかっていること

  • 2025年5月21日にカード会社から漏洩懸念の連絡を受けて発覚
  • 2025年5月26日にクレジット決済を停止
  • システムの脆弱性を突いた不正アクセスによりペイメントアプリケーションが改ざん
  • クレジットカード情報:1万423件が漏洩の可能性(2024年4月30日~2025年5月24日)
  • その他個人情報:6万663件が漏洩の可能性(2019年6月1日~2025年5月24日)
  • 一部のクレジットカード情報が不正利用された可能性を確認
  • 2025年8月18日に調査完了
  • 2025年5月26日に個人情報保護委員会に報告
  • 2025年5月29日に警察に被害申告
  • 直営店舗およびフランチャイズ店舗は影響なし

? わかっていないこと

  • 不正アクセスの開始時期(漏洩期間の開始は2024年4月30日だが、侵入時期は不明)
  • 攻撃者の特定
  • 脆弱性の具体的な内容
  • 実際に不正利用されたクレジットカードの件数
  • 調査完了(2025年8月)から公表(2026年1月)まで約5カ月かかった理由

カード会社からの連絡で発覚 即座にカード決済停止

インテリックスによると、2025年5月21日、一部のクレジットカード会社から、同社サイトを利用した顧客のクレジットカード情報の漏洩懸念について連絡を受けた。同社は2025年5月26日、ジャストカーテンオンラインショップでのクレジットカード決済を停止したという。

同時に、第三者調査機関による調査も開始した。2025年8月18日、調査機関による調査が完了し、2024年4月30日~2025年5月24日の期間にジャストカーテンオンラインショップで購入した顧客のクレジットカード情報が漏洩し、一部の顧客のクレジットカード情報が不正利用された可能性があることを確認したという。

以上の事実が確認できたため、2026年1月26日の発表に至ったとしている。

ペイメントアプリケーション改ざん 脆弱性突く

同社によると、原因はジャストカーテンオンラインショップのシステムの一部の脆弱性を突いたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたためだという。

クレジットカード情報約1万件が漏洩の可能性

クレジットカード情報漏洩の可能性があるのは、2024年4月30日~2025年5月24日の期間中にジャストカーテンオンラインショップにおいてクレジットカード決済をした顧客1万423名だという。漏洩した可能性のある情報は、クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコードだ。

その他個人情報約6万1千件も漏洩の可能性

その他の個人情報が漏洩した可能性があるのは、2019年6月1日~2025年5月24日の期間中にジャストカーテンオンラインショップにおいて商品購入(ゲスト購入含む)・会員登録・サンプル請求をした顧客6万663名だという。漏洩した可能性のある情報は、氏名、郵便番号、住所、電話番号、メールアドレス、登録パスワード、生年月日(任意入力項目)だ。

同社は該当する顧客に対し、電子メールで個別に連絡しているという。電子メールが届かなかった顧客には書状で連絡するとしている。

直営店舗・フランチャイズ店舗は影響なし

同社が全国で運営する直営店舗およびフランチャイズ店舗での購入に関しては、今回の事案による漏洩の影響はないという。

カード会社と連携 不正利用の防止に努める

同社はクレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めているという。

顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないか確認するよう呼びかけている。身に覚えのない請求項目があった場合は、クレジットカードの裏面に記載のカード会社に問い合わせるよう求めている。

顧客がクレジットカードの差し替えを希望する場合、クレジットカード再発行の手数料については顧客に負担をかけないよう、同社よりクレジットカード会社に依頼しているという。

セキュリティ対策強化 クレジット決済再開日は未定

同社は今回の事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図るとしている。

クレジットカード決済の再開日については、決定次第Webサイト上で知らせるという。

個人情報保護委員会に報告 警察に被害申告

同社は今回の不正アクセスについて、個人情報保護委員会には2025年5月26日に報告済みだという。また、所轄警察署にも2025年5月29日に被害申告しており、今後捜査にも全面的に協力するとしている。

タイムライン

日付 出来事
時期不明 第三者がシステムの脆弱性を突いて不正アクセス、ペイメントアプリケーションを改ざん
2024年4月30日~2025年5月24日 クレジットカード情報漏洩期間
2019年6月1日~2025年5月24日 その他個人情報漏洩期間
2025年5月21日 一部のクレジットカード会社から漏洩懸念の連絡を受ける
2025年5月26日 クレジットカード決済を停止、第三者調査機関による調査開始、個人情報保護委員会に報告
2025年5月29日 所轄警察署に被害申告
2025年8月18日 調査機関による調査が完了、漏洩と不正利用の可能性を確認
2026年1月26日 個人情報・クレジットカード情報漏洩の可能性を公表、該当顧客への個別連絡開始
現在 カード会社と連携して取引モニタリング実施中。セキュリティ対策強化中。クレジット決済再開日は未定

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,