ECカートシステム「たまごリピート」に不正アクセス、約3.5万人の個人情報漏洩のおそれ―パールエースオンラインショップが発表
食品・調味料の通信販売を手がけるパールエースオンラインショップ(運営:株式会社パールフーズ、東京都中央区日本橋堀留町)は2026年4月15日、同社が利用するECカートシステム「たまごリピート」(提供:株式会社テモナ)への第三者による不正アクセスにより、顧客最大3万4,505人分の個人情報が漏洩したおそれがあると公表した。外部専門機関の調査ではクレジットカード情報の漏洩は確認されていない。テモナ社は脆弱性修正とWAF(ウェブアプリケーションファイアウォール)の導入を完了しており、現時点で二次被害は報告されていないとしている。
3行要約
見出し
何が起きた:サブスクリプション型EC向けシステム「たまごリピート」のサーバーが不正アクセスを受け、加盟店顧客の個人情報データベースへ外部から不正にアクセスされたおそれが生じた。
影響:パールエースオンラインショップ利用者3万4,505人(退会済み含む)の氏名・住所・電話番号・メールアドレス・生年月日・性別・会員番号・ログインID・パスワードが対象となる。
対応:テモナ社が外部専門機関による調査を実施し、個人情報保護委員会への報告を完了。脆弱性修正・WAF導入・監視体制強化が既に完了している。
わかっていること/わかっていないこと
わかっていること
2025年10月24日、テモナ社が管理するECカートシステムのサーバーで不審なアクセスが検知された。テモナ社の社内調査および外部専門機関の調査により、データベースに格納された加盟店顧客の個人情報に対し、外部から不正にアクセスされたおそれが判明した。対象は2025年10月24日までに同ショップを利用した3万4,505人で、退会済み会員を含む。クレジットカード情報については、同システムが非保持・非通過の設計を採用しているため、漏洩の事実は確認されていない。個人情報が外部サーバー等へ送信された技術的な痕跡も確認されていない。個人情報保護委員会への報告は完了しており、現時点で二次被害は確認されていない。
わかっていないこと
個人情報への不正アクセスが実際に行われたかどうかは現時点で否定できない。システムの脆弱性が悪用された可能性は排除できておらず、具体的な侵入経路の詳細は公表されていない。個人情報が実際に攻撃者の手に渡ったかは不明であり、外部送信の痕跡がないことで確認が限界に達している。攻撃者の特定・帰属についても明らかになっていない。
不正アクセスの経緯
2025年10月24日、テモナ社が運営・管理するECカートシステム「たまごリピート」のサーバーにおいて、不審なアクセスが検知された。同社は直ちに社内調査を開始するとともに、外部の専門調査機関に依頼して詳細な技術調査を実施した。
その結果、データベースに保管されていた加盟店顧客の個人情報に対し、外部の第三者から不正にアクセスを受けたおそれがあることが判明した。一方で、クレジットカード情報については、同システムが決済情報を自社サーバーで保持・通過させない構造であることが功を奏し、不正アクセスおよび漏洩の事実は確認されなかったと報告された。また、個人情報が外部に送信された技術的な痕跡も見当たらなかったという。
テモナ社はこれらの調査結果を個人情報保護委員会に報告し、加盟店であるパールフーズへも同内容を通知した。
対象者と流出のおそれがある情報
漏洩のおそれがある情報の対象となるのは、2025年10月24日までにパールエースオンラインショップを利用した3万4,505人だ。退会済みの利用者も含まれる。対象となる情報の項目は、氏名・住所・電話番号・メールアドレス・生年月日・性別・会員番号・ログインID・パスワードの9種類。クレジットカード番号は含まれない。
利用者への呼びかけ
パールフーズは、不審な電話・SMS・配達物を受けた場合は応答・開封しないよう求めている。また、SMSに記載された不審なリンクや添付ファイルを開かないよう注意を促している。パールエースオンラインショップを名乗る不審な連絡にも警戒が必要だとしている。さらに、同一またはよく似たパスワードを他サービスでも使用している場合は、速やかな変更を推奨している。
再発防止策
テモナ社は既に、今回の不正アクセスに利用されたとみられるシステムの脆弱性を修正した。あわせてWAFを新たに導入し、不正な通信を検知・遮断する体制を整備。サーバーの監視体制も強化したとしている。パールフーズも委託先への監督を強化し、安全管理の徹底に取り組む方針を示した。
「たまごリピート」について
「たまごリピート」は、株式会社テモナが提供するサブスクリプション・定期購入に特化したECカートシステムだ。食品・化粧品・健康食品といった通信販売事業者を中心に広く導入されており、今回のような一事業者のシステム提供元への攻撃が複数の加盟店顧客に影響を及ぼす構造となっている。
問い合わせ窓口
本件に関する問い合わせは、たまごリピートお客様相談センター(株式会社テモナ、電話:0120-38-0136、平日10時〜18時)または、パールエースオンラインショップ(電話:0120-085-093、平日10時〜12時・13時〜15時)が受け付ける。
タイムライン
| 日付 | 出来事 |
|---|---|
| 2025年10月24日 | テモナ社がサーバーへの不審なアクセスを検知(発生・検知) |
| 2025年10月24日以降 | テモナ社による社内調査を開始 |
| 時期非公表 | 外部専門機関による技術調査を実施 |
| 時期非公表 | 調査結果を個人情報保護委員会へ報告 |
| 2026年4月15日 | パールエースオンラインショップが顧客へ公式発表(メール・書面通知) |
関連記事
NEW 不正アクセス、マルウェア埋め込みを確認のセカイモン サービス停止の理…
NEW 美容サロン向け予約管理システム「BeautyMerit」に不正アクセ…
穴吹興産にランサムウェア、個人情報漏洩を確認 通信機器の脆弱性を悪用
NEW 介護福祉用具レンタル委託先へのランサムウェア攻撃で個人情報漏洩か ニ…
NEW ビューティガレージECサイトに不正アクセス疑い、クレカ決済2カ月超停…
がんばる舎、2025年10月の不正アクセスで顧客情報が漏えいした可能…
マツダ、タイ調達管理システムへの不正アクセスで692件の個人情報が流…
NEW MaaS Car会員の個人情報漏えいか——再委託先へのランサムウェア…
NEW 委託先へのランサムウェア攻撃で個人情報漏えいの可能性 福祉用具レンタ…
NEW ホテルオークラ福岡、委託先サーバーへのランサムウェア攻撃で従業員ら9…
NEW ワシントンホテル株式会社、ランサムウェア感染の第3報 全端末にEDR…
NEW テモナ「たまごリピート」への不正アクセス、第三者調査で情報漏洩なし-…
NEW 不動産管理会社にランサムウェア攻撃、入居者・保証人らの個人情報が漏え…
NEW 美容クリニックにランサムウェア攻撃、患者369人分の個人情報が不正取…
NEW 村田製作所、不正アクセスで顧客・取引先に関する情報および従業員の個人…
ホテル日航プリンセス京都、Expedia経由予約客の個人情報が流出—…
カテゴリ:セキュリティニュース
タグ:ECサイト,クレジットカード情報漏洩,メールセキュリティ,不正アクセス,個人情報漏洩,委託先,情報漏洩,脆弱性
介護福祉用具レンタル委託先へのランサムウェア攻撃で個人情報漏洩か ニコグループが公表
AIシステム、公開前に安全確認を AntAIが非エンジニア向け専門監査サービスを開始