事件の全貌──「購入完了」の裏で起きていたこと

推しのフィギュア、限定盤CD、懐かしのゲーム。買い物の最後に表示される「購入完了しました」は、生活の一部になった安心の合図だ。しかし、中古ホビー大手・駿河屋のECサイト「駿河屋.JP」でその瞬間に入力されたカード番号、有効期限、セキュリティコードが見知らぬ第三者の手に渡っていた可能性があるという。最大3万件超のクレジットカード情報と約3万人の個人情報が、音もなく盗み取られていた可能性が示された（ITmedia NEWSによる）。 生活導線の中に潜む脅威が、突如として可視化された形だ。

最も油断する季節に起きた“静かな侵入”

不正アクセスが行われたとみられる時期は、7月23日午後0時50分から8月8日。リアル店舗が休む夜も、ECは24時間動き続ける。夏の商戦で盛り上がるこの時期、深夜の勢いでカートに入れる人、通勤中の片手操作で注文する人、帰省先から子どものために探す人──その裏で攻撃者は静かに背後に立ち、数字が入力される瞬間を待っていた。買い物という“安心のはずの時間”こそが、最も狙われやすいタイミングになってしまった。

正常画面が罠となる──透明な盗聴器「Webスキミング」

監視ツールの脆弱性を突かれ、決済ページ用のJavaScriptが改ざんされたという。異常は何一つ表示されない。エラーも出ない。動きはむしろ軽快。ユーザーが安心の根拠にしていた振る舞いが、そのまま欺きの装置へと転じていた。オンラインの闇には「摩擦のない盗み」がある。キーを叩く音は利用者の耳には届かず、数字は裏側で複製され、攻撃者へと滑り落ちていく。信頼を裏切る対価は、あまりに静かだった。

発覚は内部ではなく外部──企業統制の不穏な現実

発覚のきっかけは8月4日。だが、最初に異常を示したのは駿河屋内部ではなく“外部”だった。企業に任せているつもりの安心は、実のところ外側の誰かに支えられていたのかもしれない。セキュリティ研究者の指摘か、決済会社のアラートか、利用者の違和感か──背景は明らかにされていないが、少なくとも内部監視は機能しなかったという結論は揺らがない。もし不審請求で明るみに出たのだとすれば、被害が起きるまで誰も気づけない構造だ。「守られている」ではなく「守られていたらいいな」という願望で成り立っていた脆い現実が浮かび上がる。

沈黙の2カ月と、EC社会に広がる“危険の連鎖”

外部専門家による調査が完了したのは10月10日。しかし発表は12月4日。駿河屋は「再発防止策の実効性を優先した」とするが、その間、利用者は知らないまま日常を過ごしていた。EC利用率が70％を超える日本。カード番号は一度落ちれば、Amazonでも、海外のサブスクでも、どんな決済でも火を噴き得る。ひとつの穴は、社会全体の脅威になる。沈黙はもっとも鋭い刃に変わり、信頼を深く削り取っていった。

信頼はどこへ向かう──暮らしを守るための条件

駿河屋は改ざん検知強化や多層防御の導入、第三者診断を進める方針としている。しかし攻撃者はその先を走る。利用者は「明細を見る」「2段階認証を有効化する」「パスワードを使い回さない」といった基本動作を、今後は日常のメンテナンスとして捉えざるを得ない。夜中に気ままに買い物をする。それだけのことに、大きな信頼が必要な時代だ。安心を“感じる”だけでは足りない。安心を“確認し続ける”ことが、暮らしを守る条件になった。