学びのマーケット「ストアカ」、漏えい懸念調査で自社システム侵害を確認せず——クレジットカード決済を4月20日に再開

学びのマーケット「ストアカ」を運営するストリートアカデミー株式会社は2026年4月15日、決済代行会社から2026年1月16日に受けていた個人情報漏えい懸念の連絡について、調査結果を公表しました。外部専門機関による調査の結果、同社環境におけるサーバー侵入や改ざん、個人情報流出は確認されなかったとしています。あわせて、一時停止していたクレジットカード決済を2026年4月20日から再開することを発表しました。

ストリートアカデミーは2026年1月16日に決済代行会社から「過去にストアカを利用した一部顧客のクレジットカード情報について第三者による不正利用の疑いがある」との連絡を受け、影響拡大防止のためクレジットカード決済を即時停止し、外部調査を進めてきました。今回の調査で自社システム由来の流出は確認されなかった一方、漏えい事故の発生自体を認めたものではなく、懸念を受けての調査完了報告である点がアナウンスで明示されています。

不正利用疑いの具体的な経路については、他サービスで漏えいした認証情報を使ったリスト型攻撃やカード情報の名寄せなど複数の可能性が考えられますが、現時点で確定的な結論は出ていません。ストアカ側は、パスワードの使い回し防止や二段階認証の有効化といった利用者側の対策もあわせて呼びかけています。

警察庁、コード決済サービスの不正利用被害に関する注意喚起——フィッシングで窃取したアカウントがコンビニで不正利用

警察庁サイバー警察局は2026年4月13日、「コード決済サービスの不正利用被害に遭わないために」と題する注意喚起（サイバー警察局便りR8 Vol.2）を発出しました。フィッシングやマルウェアなどにより窃取されたコード決済サービスのアカウントが、コンビニエンスストア等の実店舗で不正に利用される事例が確認されており、警察庁から関係団体に対して具体的な犯罪手口情報が提供されています。

主な手口として、(1) 決済事業者やカード会社を装ったSMS・メールで偽サイトへ誘導し、ログインID・パスワード・認証コードを入力させる、(2) スマートフォンに不正アプリ（いわゆるマルスパム・SMSフィッシング経由）をインストールさせて認証情報を抜き取る、(3) 乗っ取ったアカウントに被害者の銀行口座・カードを紐付けたうえでコンビニやチェーン店で高額商品を購入する、というフローが指摘されています。

コード決済は利用者側にも加盟店側にも普及が進んでおり、QR/バーコード決済の取扱店では不正利用の発見・対応が店員の判断に委ねられるケースもあります。警察庁は利用者に対して「公式アプリ以外からアクセスしない」「認証コードを他人に伝えない」「不審なアプリをインストールしない」などの基本対策を改めて呼びかけています。

IPA、2026年Q1の脆弱性届出208件を公表——累計2万件を突破、XSSが最多、中小のWebサイト運用が主要な論点

IPA（独立行政法人 情報処理推進機構）は2026年4月16日、2026年第1四半期（1〜3月）の「ソフトウェア等の脆弱性関連情報に関する届出状況」を公表しました。届出件数はソフトウェア製品に関するもの139件、ウェブアプリケーション（ウェブサイト）に関するもの69件の合計208件で、届出受付開始（2004年7月8日）以降の累計は20,065件に達し、節目となる2万件を突破しました。

同四半期にJVN（Japan Vulnerability Notes）で公表されたソフトウェア製品脆弱性の件数は66件（累計3,182件）、うち13件は製品開発者が自社製品の脆弱性として届け出たものです。修正完了したウェブサイトの件数は47件（累計8,938件）となっています。JVN iPediaに登録された脆弱性対策情報の傾向分析では、CWE-79（クロスサイトスクリプティング）が1,163件、CWE-74（インジェクション）が406件、CWE-22（パス・トラバーサル）が402件で、XSSが引き続き最も多い脆弱性パターンとなっています。

特に中小企業のWebサイトに関係するのがウェブアプリケーション届出69件です。届出対象となったサイトの多くはコーポレートサイト・予約フォーム・ECサイト等で、問い合わせフォームや会員管理画面の実装不備、ログイン画面のパラメータ改ざん、旧バージョンのCMS（WordPress・Movable Type等）に起因する脆弱性が指摘されています。

2026年Q1 届出件数とJVN iPedia登録傾向（IPA公表値）