セキュリティニュース

BEENOS子会社「セカイモン」に不正アクセス 2007年以降の全会員情報が対象 サービス一時停止

BEENOS株式会社の連結子会社である株式会社ショップエアライン(以下、ショップエアライン)は13日、同社が運営する海外ショッピングサービス「セカイモン」のデータベースに不正アクセスが確認されたと発表した。2026年2月10日13時、同社サーバーへの不正アクセスを契機として、同システム環境下にあるデータベースに格納されている一部情報に第三者による不正なアクセスを検知したという。これにより、安全配慮および調査実施の観点でサービスサイトの公開を2月10日夕方より停止したとしている。不正アクセスの対象となった可能性のある情報は、2007年12月4日から2026年2月10日までに「セカイモン」に会員登録した全ての顧客の氏名、生年月日、性別、メールアドレス、電話番号、住所、クレジットカード番号の下4桁・有効期限、ハッシュ化済みパスワードだという。同社によると、2月13日15時現在、脆弱性が確認された経路の封鎖は完了しているという。BEENOSグループが提供する他のサービスについては、不正アクセスは確認されておらず、安全性を確認したうえで通常通り運営を継続しているとしている。

「セカイモン」への不正アクセスに関するお知らせとお詫び(BEENOS株式会社公式、2026年2月13日)より引用

【3行要約】

何が起きた:BEENOS子会社が運営する「セカイモン」のデータベースに不正アクセス。2月10日13時に検知、同日夕方にサービス停止

影響:2007年12月4日~2026年2月10日の全会員が対象。氏名、住所、電話、メール、カード下4桁、ハッシュ化パスワードなどが対象

対応:2月13日15時に脆弱性経路封鎖完了。詳細調査後にサービス再開予定。他のBEENOSサービスは通常運営

わかっていること・わかっていないこと

✓ わかっていること

  • 2月10日13時に「セカイモン」サーバーへの不正アクセスを検知
  • データベース格納情報に第三者による不正アクセスを確認
  • 2月10日夕方よりサービスサイト公開を停止
  • 対象期間:2007年12月4日~2026年2月10日に会員登録した全顧客
  • 対象情報:氏名、生年月日、性別、メールアドレス、電話番号、住所、クレジットカード番号の下4桁・有効期限、ハッシュ化済みパスワード
  • カードの総桁番号やセキュリティコードは保有していない
  • パスワードはハッシュ化(不可逆的暗号化)済み
  • 2月13日15時に脆弱性が確認された経路の封鎖完了
  • BEENOSグループの他サービスについて不正アクセスは確認されず
  • 影響を受ける可能性のある顧客に個別案内を実施
  • 関係機関へ報告済み

? わかっていないこと

  • 攻撃者の特定
  • 不正アクセスが開始された時期
  • 実際に流出した情報の範囲
  • 影響を受けた会員の正確な人数
  • 不正アクセスの具体的な手法
  • 脆弱性の詳細
  • サービス再開時期

2月10日13時に不正アクセス検知 夕方にサービス停止

ショップエアラインによると、2026年2月10日13時、同社サーバーへの不正アクセスを契機として、同システム環境下にあるデータベースに格納されている一部情報に第三者による不正なアクセスを検知したという。

これにより、安全配慮および調査実施の観点でサービスサイトの公開を2月10日夕方より停止したとしている。引き続き影響調査を進め、必要な対応が発生した場合は速やかに対応するという。

なお、BEENOSグループが提供するサービスのうち、当該サービス以外の不正アクセスに関しては確認されていないとしている。

2007年以降の全会員情報が対象 約19年分のデータ

不正アクセスの対象となった可能性のある情報は、2007年12月4日から2026年2月10日までに「セカイモン」に会員登録した顧客の以下の情報だという。

  • 氏名
  • 生年月日
  • 性別
  • メールアドレス
  • 電話番号
  • 住所
  • クレジットカード番号の下4桁、有効期限
  • 「セカイモン」に登録したパスワード(ハッシュ化済み)

対象期間は約19年間に及び、サービス開始以降の全会員が対象となる。

カード総桁番号・セキュリティコードは保有せず

同社によると、顧客が使用するカードを選択するために必要な情報のみを保持しており、カードの総桁番号やセキュリティコードは保有していないという。

そのため、クレジットカードの全情報が流出したわけではなく、不正利用のリスクは限定的とみられる。

パスワードはハッシュ化済み 他サイトでの変更を推奨

同社によると、システムに保存されているパスワードは、ハッシュ化という不可逆的な暗号化を施しており、元のパスワードの特定を困難にする処置が施されていたという。

しかしながら、二次被害を防止するため、他サイトでも同一のパスワードを使用している顧客においては、安全確保のためにパスワードの変更をお願いしているとしている。

2月13日15時に脆弱性経路封鎖完了 詳細調査後に再開

同社によると、2026年2月13日15時現在、脆弱性が確認された経路の封鎖は完了しているという。

本件による影響は「セカイモン」の一部システムに限られたもので、BEENOSグループが運営するその他のサービスについては、安全性を確認したうえで通常通り運営を継続しているとしている。

今後は、ログの調査及びセキュリティ診断を実施し、調査を進めていく予定だという。調査結果については速やかに知らせるとともに、今後の顧客への詳細な対応方針並びに再発防止策について案内する予定だとしている。

サービスについては、詳細な調査結果をふまえ、顧客に安心して利用いただける状態であることを確認したうえでの再開とするとしている。再開までに時間を要する見込みだという。

影響を受ける可能性のある顧客に個別案内

同社によると、「セカイモン」で現在取引中の顧客をはじめ、不正アクセスの影響を受ける可能性のある顧客へは、ショップエアラインより個別に案内をするという。

なお、関係機関への報告については緊密に連携し、厳正に対処するとしている。

セカイモン・BEENOSとは

「セカイモン」は、株式会社ショップエアラインが運営する海外ショッピングサービスだ。海外のショッピングサイトで販売されている商品を、日本から購入できるサービスを提供している。

株式会社ショップエアラインは、BEENOS株式会社(東京証券取引所プライム市場上場)の連結子会社だ。BEENOSは越境EC(国境を越えた電子商取引)プラットフォーム事業を展開するグループ企業で、Buyee、tensoなどのサービスを提供している。

約19年分の顧客データが対象

今回の事案は、2007年12月のサービス開始以降の全会員情報が不正アクセスの対象となった可能性がある、大規模なインシデントだ。約19年間にわたって蓄積された顧客データが対象となっている。

幸いにも、クレジットカードの総桁番号やセキュリティコードは保有していないため、カード不正利用のリスクは限定的だ。また、パスワードはハッシュ化されており、元のパスワードの特定は困難だという。

ただし、氏名、住所、電話番号、メールアドレスなどの個人情報は含まれており、これらの情報を悪用したフィッシング詐欺などの二次被害のリスクがある。同社が他サイトでのパスワード変更を推奨しているのは、このような二次被害を防止するためだ。

タイムライン

日付 出来事
2007年12月4日 「セカイモン」サービス開始(対象期間の開始)
時期不明 サーバーへの不正アクセス発生
2月10日13時 サーバーへの不正アクセスを検知、データベースへの不正アクセスを確認
2月10日夕方 安全配慮および調査実施のためサービスサイト公開を停止
2月13日15時 脆弱性が確認された経路の封鎖完了
現在 ログ調査及びセキュリティ診断を実施中。影響を受ける可能性のある顧客に個別案内中
2月13日 不正アクセスを公表

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,