不正アクセス、マルウェア埋め込みを確認のセカイモンサービス停止の理由・復旧時期

BEENOS株式会社（東京都品川区）の連結子会社・株式会社ショップエアラインが運営する海外ショッピングサービス「セカイモン」は、2026年2月10日に不正アクセスを受けた。外部専門機関によるフォレンジック調査の結果、サーバーへの外部侵入の痕跡とマルウェアの埋め込みが確認された。2007年のサービス開始以来2026年2月10日までに会員登録した顧客の個人情報が第三者にアクセスされた可能性を否定できないとしており、同社は3月13日に最終調査結果と再発防止策を公表した。

3行要約

見出し

1 3行要約
2 わかっていること／わかっていないこと
- 2.1 わかっていること
- 2.2 わかっていないこと・否定できないこと
3 フォレンジック調査で判明した侵入の実態
4 流出可能性のある個人情報の範囲
5 旧システム全廃、新環境への移行で再発防止
6 サービス再開は4月23日、ヤフオク!店は未定
7 インシデント対応タイムライン

何が起きた：システムの脆弱性を突かれてサーバーへの不正アクセスが発生し、マルウェアが埋め込まれた。2007年から2026年2月にわたる会員の個人情報が外部からアクセスされた可能性がある。

影響：会員の氏名・住所・メールアドレス・電話番号・クレジットカード番号下4桁・ハッシュ化済みパスワードのほか、セカイモンヤフオク!店の購入者情報、従業員および委託スタッフの個人情報も対象となった。

対応：侵害の疑いがある旧システムを全廃し、EDR導入・多要素認証標準化などセキュリティを強化した新環境への移行を進めている。セカイモンのサービス再開は2026年4月23日を予定する。

わかっていること／わかっていないこと

わかっていること

・外部専門機関のフォレンジック調査により、サーバーへの外部侵入の痕跡とマルウェアの埋め込みを確認

・侵入の原因はシステムの脆弱性であることを特定

・新たな侵入は確認されていない

・対象者への個別通知（メールまたは郵便ハガキ）は完了

・クレジットカードの全桁番号・セキュリティコードは保有しておらず、流出対象外

わかっていないこと・否定できないこと

・個人情報が実際に外部へ持ち出されたかどうか（流出の有無・件数）は確認できず否定もできない

・悪用された脆弱性の具体的な種類・詳細

・「セカイモンヤフオク!店」の再開時期

フォレンジック調査で判明した侵入の実態

株式会社ショップエアラインは2026年2月16日から外部専門機関によるフォレンジック調査を開始した。調査の結果、不正アクセスが疑われるサーバーに外部からの侵入痕跡が残されており、マルウェアが埋め込まれていたことが判明した。侵入経路はシステム上の脆弱性であると特定されており、脆弱性が確認された監視サーバーについては検知翌日の2月12日に設定変更とパスワードリセットを即日完了したとしている。

同社は「外部からの通信が確認されたデータベースに格納されていた個人情報について、第三者によりアクセスされた可能性を否定できない」としている。現時点で情報が外部に持ち出された事実は確認されていないが、否定もできない状況にある。

流出可能性のある個人情報の範囲

対象は3つの区分に分かれる。

第1は、2007年12月4日から2026年2月10日までにセカイモンへ会員登録した顧客の情報だ。氏名・生年月日・性別・メールアドレス・電話番号・住所・クレジットカード番号下4桁と有効期限・ハッシュ化済みパスワードが含まれる。クレジットカードの全桁番号やセキュリティコードは同社として保有していないとしており、これらは流出対象に該当しない。ハッシュ化されたパスワードについては元の文字列の特定を困難にする処置が施されていたとしつつも、他サービスで同一パスワードを使い回している利用者にはパスワード変更を呼びかけている。

第2は、2018年11月19日から2026年2月10日までに「セカイモンヤフオク!店」で商品を購入した顧客の氏名・電話番号・住所・購入者識別子だ。

第3は、従業員および委託先倉庫スタッフに関する情報だ。従業員については氏名・メールアドレス・ハッシュ化済みパスワード・電話番号、委託先倉庫スタッフについてはスタッフIDと氏名が含まれる。3月2〜3日にかけて対象従業員および派遣会社への個別通知が完了している。

旧システム全廃、新環境への移行で再発防止

同社は再発防止策として、侵害の疑いがある既存サーバーをすべて破棄し、セキュリティを強化した新環境への移行・再構築を進めている。新環境ではEDR（エンドポイント検知・対応）を全サーバーに導入し、24時間365日の監視体制を構築する。OSへのパッチ適用管理の徹底と、通信ログの取得・通信先制限による適切なネットワーク設定も実施するとしている。

社内システムへのアクセス制御については、多要素認証の適用を標準とする方針に転換する。原因の再分析と追加対策計画の策定についても継続して検討するとしている。

サービス再開は4月23日、ヤフオク!店は未定

セカイモンのサービス再開は2026年4月23日を予定している。それに先立ち、3月5日からは米国拠点に到着済みの購入商品について手動オペレーションによる発送を再開しており、段階的な復旧を進めている。サービス再開後は、登録済み会員に対して登録情報の再確認手続きを実施する予定だという。「セカイモンヤフオク!店」については再開時期が現時点で未定とされており、決定次第改めて告知するとしている。

インシデント対応タイムライン

2026年2月10日 13:00　不正アクセスの可能性を検知、緊急対策本部を設置

2026年2月10日 18:41　「セカイモン」全サービスを停止、サービスサイトで公表

2026年2月11日 11:23　全関連サーバーの外部ネットワーク通信を遮断、データベースの外部接続を全停止

2026年2月12日　全サーバーにEDRを導入し侵害調査を実施。脆弱性が確認された監視サーバーの設定変更・パスワードリセットを即日完了

2026年2月13日　第一報のプレスリリース発表。メールアドレス登録済み顧客へ通知

2026年2月16日　外部専門機関によるフォレンジック調査を開始（検知から6日後）

2026年2月26日　フォレンジック調査の結果を受け、旧システム環境を破棄、新環境での再構築を開始

2026年2月27日　外部からアクセスされたデータベース内の個人データの精査完了

2026年3月2〜3日　従業員・派遣会社への個別通知を実施。商品発送再開を告知

2026年3月3日〜　メール未登録顧客への郵便ハガキによる通知を開始

2026年3月5日　米国拠点着荷商品の手動発送を再開

2026年3月13日　最終調査結果・再発防止策を公表（第二報）

2026年4月23日（予定）　「セカイモン」サービス再開