セキュリティニュース

パッケージショップJP運営の山元紙包装社 約4千件の個人情報漏洩か カード情報約1400件も

包装資材の通販サイト「パッケージショップJP」を運営する株式会社山元紙包装社は28日、同サイトが第三者による不正アクセスを受け、顧客の個人情報3973件およびクレジットカード情報1395件が漏洩した可能性があると発表した。システムの脆弱性を突いた不正アクセスによりペイメントアプリケーションが改ざんされたという。2025年9月5日にカード会社から連絡を受けて発覚し、同日カード決済を停止。9月17日に調査が完了したが、公表は約4カ月半後の2026年1月28日となった。漏洩期間は2021年6月4日~2025年1月17日の約3年7カ月に及ぶ。同社は個人情報保護委員会に報告済みで、警察にも被害申告している。

弊社が運営する「パッケージショップJP」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(株式会社山元紙包装社、2026年1月28日)より引用

【3行要約】

何が起きた:パッケージショップJPが不正アクセス被害。個人情報3973件、クレジットカード情報1395件が漏洩の可能性

影響:2021年6月~2025年1月にカード決済利用の顧客が対象。約3年7カ月の長期漏洩。一部カードが不正利用された可能性

対応:2025年9月にカード決済停止。調査完了後、約4カ月半後の2026年1月に公表。個人情報保護委員会・警察に報告済み

わかっていること・わかっていないこと

✓ わかっていること

  • 2025年9月5日にカード会社から漏洩懸念の連絡を受けて発覚
  • 2025年9月5日にクレジット決済を停止
  • システムの脆弱性を突いた不正アクセスによりペイメントアプリケーションが改ざん
  • 個人情報:3973件が漏洩の可能性(メールアドレス、パスワード、電話番号)
  • クレジットカード情報:1395件が漏洩の可能性
  • 漏洩期間:2021年6月4日~2025年1月17日(約3年7カ月)
  • 一部のクレジットカード情報が不正利用された可能性を確認
  • 2025年9月17日に調査完了
  • 2025年9月9日に個人情報保護委員会に報告
  • 2025年9月9日に警察に被害申告
  • 公表が遅れた理由:調査結果とカード会社との連携を待ったため

? わかっていないこと

  • 不正アクセスの開始時期(漏洩期間の開始は2021年6月4日だが、侵入時期は不明)
  • 攻撃者の特定
  • 脆弱性の具体的な内容
  • 実際に不正利用されたクレジットカードの件数
  • サイト再開の見込み

カード会社からの連絡で発覚 即座にカード決済停止

山元紙包装社によると、2025年9月5日、一部のクレジットカード会社から、同社サイトを利用した顧客のクレジットカード情報の漏洩懸念について連絡を受けた。同社は同日、パッケージショップJPでのカード決済を停止したという。

同時に、第三者調査機関による調査も開始した。2025年9月17日、調査機関による調査が完了し、2021年6月4日~2025年1月17日の期間にパッケージショップJPで購入した顧客のクレジットカード情報が漏洩し、一部の顧客のクレジットカード情報が不正利用された可能性があることを確認したという。

ペイメントアプリケーション改ざん 約3年7カ月の長期漏洩

同社によると、原因はパッケージショップJPのシステムの一部の脆弱性を突いたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたためだという。

漏洩期間は2021年6月4日~2025年1月17日の約3年7カ月に及ぶ。この長期間にわたって顧客情報が流出し続けていた可能性がある。

個人情報約4千件が漏洩の可能性

個人情報漏洩の可能性があるのは、2021年6月4日~2025年1月17日の期間中にパッケージショップJPにおいてクレジットカード決済をした顧客3973名だという。漏洩した可能性のある情報は、メールアドレス、パスワード、電話番号だ。

クレジットカード情報約1400件も漏洩の可能性

クレジットカード情報漏洩の可能性があるのは、同期間中にクレジットカード決済をした顧客1395名だという。漏洩した可能性のある情報は、クレジットカード番号、カード名義人名、有効期限、セキュリティコードだ。

同社は該当する3973名の顧客に対し、電子メールおよび書状で個別に連絡しているという。

公表が約4カ月半後 理由を説明

今回の事案は2025年9月5日に発覚したが、公表は約4カ月半後の2026年1月28日となった。

同社はこの遅れについて、「不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました」と説明している。

カード会社と連携 不正利用の防止に努める

同社はクレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めているという。

顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないか確認するよう呼びかけている。身に覚えのない請求項目があった場合は、クレジットカードの裏面に記載のカード会社に問い合わせるよう求めている。

顧客がクレジットカードの差し替えを希望する場合、カード再発行の手数料については顧客に負担をかけないよう、同社よりクレジットカード会社に依頼しているという。

セキュリティ対策強化 サイト再開日は未定

同社は今回の事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図るとしている。

改修後のパッケージショップJPの再開日については、決定次第Webサイト上で知らせるという。

個人情報保護委員会に報告 警察に被害申告

同社は今回の不正アクセスについて、個人情報保護委員会には2025年9月9日に報告済みだという。また、所轄警察署にも2025年9月9日に被害申告しており、今後捜査にも全面的に協力するとしている。

タイムライン

日付 出来事
時期不明 第三者がシステムの脆弱性を突いて不正アクセス、ペイメントアプリケーションを改ざん
2021年6月4日~2025年1月17日 個人情報・クレジットカード情報漏洩期間(約3年7カ月)
2025年9月5日 一部のクレジットカード会社から漏洩懸念の連絡を受ける
2025年9月5日(同日) クレジットカード決済を停止、第三者調査機関による調査開始
2025年9月9日 個人情報保護委員会に報告、所轄警察署に被害申告
2025年9月17日 調査機関による調査が完了、漏洩と不正利用の可能性を確認
2025年9月17日~2026年1月27日 カード会社との連携準備、対応準備期間
2026年1月28日 個人情報・クレジットカード情報漏洩の可能性を公表(発覚から約4カ月半後)、該当顧客への個別連絡開始
現在 カード会社と連携して取引モニタリング実施中。セキュリティ対策強化中。サイト再開日は未定

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,,