駿河屋の件、最終報告読んだんですが、ますます不信感が。
https://t.co/BpDxKfq95k

というのも、初報があった時は7月23日に不正アクセスの結果モニタリングして見つけたっぽい書きぶりだったのですが、最終報では8月4日の問い合わせで発覚とのこと。

まずは初報
当社は、2025年7月23日に不正アクセスを検知し、同日より各種調査、モニタリングを実施しておりました。2025年8月4日にシステムの一部において不正に改ざんされていることを検知し、同日中にシステムの修正を完了
不正アクセスを検知して調査した結果、不正プログラムが発覚したように読み取れる文章になっていますが、最終報では
・2025年8月4日：外部からの問い合わせを起点に社内調査を実施し、JavaScriptの改ざんを検知。同日15時22分に修正完了。
(省略)
・フォレンジック調査の結果、対象サーバへの侵入時刻が判明し、以下の期間を特定しました。
・漏えい対象期間: 2025年7月23日12時50分〜2025年8月8日
となっています。
どういうことかというと、初報時点では自分で見つけましたって言ってたのに最終報では問合せから発覚しました。発覚した結果不正侵入時刻が分かりました、という逆の順番になっているのです。

つまり、問い合わせがなければ延々と漏洩していた可能性が高く、また、改ざん検知どころ侵入に対する検知や防御も適切ではなかった状態だと思うわれるわけです。

システム面の防御が薄い点については100万歩譲って見逃しますが、こんな重大事故の初報で虚偽または誤解を招く内容で報告したわけです。認識していながら。
8月4日の発覚時点でシステムを止める判断をしなかった点からかなり情報漏洩について認識が甘いと思っていましたが、相当ガバナンス意識がガバガバです。ガバナンスだけに。

もちろん、実際に7月23日に不正アクセスを検知・モニタリングしていた可能性もありますが、最終報告に挙がってないところを見ると、この時点では何の成果も得られなかったんでしょうね。

初報と最終報で重大な不整合があり、これ以上憶測しても仕方ないのですが、かなり頑張らないと大変そうですね。
ちなみに、もっと指摘を挙げるならECサイトではなく会社情報NEWS側にまだ本件を書いてないあたり事の重大性を理解しているのか不安ですね。 December 12, 2025