ECカートシステム「たまごリピート」において、2025年10月に第三者による不正アクセスが疑われるシステム障害が発生したことが明らかになりました。
運営会社であるテモナ株式会社は2025年10月26日、公式にこの事実を発表し、現在詳細な調査を進めています。本記事では、現在判明している事実と、利用事業者が取るべき対応について解説します。
テモナ株式会社「第三者による不正アクセスによるシステム障害についてのお知らせ」より
2025年10月「たまごリピート」システム障害の概要
2025年10月26日、テモナ株式会社は「第三者による不正アクセスによるシステム障害についてのお知らせ」を発表しました。
公式サイトで発表されている内容(2025年10月26日付)
運営会社が2025年10月26日に発表した内容によると、2025年10月24日(金)にサーバーログを監視していたところ、異常なアクセスを検知しました。直ちに調査を行った結果、一部のサーバーにおいて第三者による不正アクセスと考えられる痕跡を把握したとのことです。
この事態を受け、被害の拡大を防止するため、痕跡が確認されたサーバーはネットワークから隔離されました。さらに、不正アクセスの疑いがある他のサーバーも一時的に隔離し、プログラムの診断・確認作業を進めています。
現在は、外部の専門家とも連携し、不正アクセスの侵入経路や、データ流出の可能性を含む影響範囲について、詳細な調査を継続している状況です。
影響範囲は「調査中」
現時点(2025年10月28日)では、「データなどの外部流出の可能性を含めた影響範囲について、調査・対応を進めている」段階です。
ECカートシステムという性質上、万が一、個人情報(氏名、住所、電話番号)やクレジットカード情報が流出した場合、その影響は甚大です。利用事業者は、公式の続報を待つとともに、最悪の事態を想定して行動する必要があります。
現時点で利用事業者が確認すべきこと
「たまごリピート」を利用しているEC事業者は、まず以下の対応を急いでください。
- 管理画面へのアクセス確認 自社の管理画面にログインできるか、異常な動作がないかを確認します。障害の影響でアクセスが不安定になっている可能性があります。
- 公式情報の継続的なチェック 運営会社(テモナ)からの続報(メール、公式サイト)を常時確認できる体制を整えてください。影響範囲や復旧の目処など、最新情報が更新され次第、顧客対応に動く必要があります。
また、たまごリピートを利用していることを公言していたり、たまごリピートの導入事例に掲載等されている場合は、顧客からのお問い合わせが発生する場合があります。状況によっては社内で対応方針を協議し、一時的な窓口の設置やFAQの準備を進める必要がある可能性があります。
EC事業者が取るべき具体的な防衛策と今後の対応
今回の事態を受け、EC事業者は自社の情報資産(=顧客情報)を守るために、迅速かつ中長期的な対応が求められます。
【短期】自社の状況確認・顧客対応と情報開示
まずは自社の状況確認を行いましょう。また、上記で記載の通りたまごリピートを利用していることを公言していたり、たまごリピートの導入事例に掲載等されている場合など、顧客から具体的な問い合わせがあった場合は顧客への説明責任を果たす準備が最優先です。
運営会社の調査結果が発表され次第、自社サイトでの影響の有無を誠実に公表することも検討してください。透明性のある情報開示が顧客の信頼を繋ぎ止める鍵となります。
【短期】セキュリティ設定の総点検
管理画面が無事であれば、以下の設定を直ちに見直してください。
- 管理画面パスワードの変更 全スタッフのパスワードを、より強固なものに変更します。
- 二要素認証の導入 もしシステム側に二要素認証(2FA)の機能があれば、必ず有効化します。
- IPアドレス制限 管理画面にアクセスできるIPアドレスを、自社のオフィスなどに限定します。
また、これを機にたまごリピートのみならず、利用している外部システム等のセキュリティを見直すのもよいでしょう。
【長期】カートシステムの依存リスクを再評価
「たまごリピート」のようなASP型(SaaS型)のECカートシステムは、安価で手軽にECサイトを構築できるメリットがあります。
しかしその反面、セキュリティをプラットフォームに依存するしかなく、一度脆弱性が見つかると、そのシステムを利用する全事業者が一斉に攻撃対象となる構造的なリスクを抱えています。今回の事態を重く受け止め、自社の事業継続性の観点から、現在のカートシステムに依存し続けるリスクを再評価しましょう。
また、以下のような対策を検討してもよいでしょう。
- セキュリティ体制が強固な他のカートシステムへの移行。
- 異なるシステムでサブ店舗を運営し、リスクを分散する。
これらはコストと手間がかかりますが、顧客の信頼を失えば事業の継続自体が不可能になります。長期的な経営判断として、カートシステムの乗り換えも選択肢の一つになります。
メール配信・メルマガ配信は外部システムを使う
今回の障害で「顧客への連絡手段」がカートシステムに依存していることのリスクを感じた方も多いのではないでしょうか。
多くのECカートシステムにはメルマガ配信機能が標準搭載されていますが、セキュリティやリスク分散の観点から、外部のメール配信システムの利用を検討するのも手です。システム停止によってメールが配信できないと、顧客とのコミュニケーション手段を失ってしまう可能性もあります。また、これには2つの大きなメリットがあります。
- 連絡手段の確保 万が一、今回のようにカートシステムの管理画面が停止したりサーバーが隔離されたりしても、外部のメールシステムは独立して稼働しています。そのため、障害発生の通知やお詫び、復旧の目処などを顧客に対して迅速かつ確実に配信することが可能です。
- 顧客情報のリスク分散 ECカートのデータベースとメール配信用の顧客リスト(メールアドレス)を物理的に分離できます。仮にECカート側が不正アクセスを受けデータベースが侵害された場合でも、メール配信システムのリストまで同時に流出するリスクを低減できます。
カートシステムに全ての機能を依存させることは、障害発生時にすべての業務が停止するリスクを伴います。重要な顧客接点であるメール配信機能は、意図的に外部化しておくことが有効な防衛策となります。
おすすめのメール配信システム「ブラストメール」
外部のメール配信システムを検討する際、選択肢の一つとして有力なのが「ブラストメール(blastmail)」です。ブラストメールは、導入企業数27,000社以上、15年連続で顧客導入数シェアNo.1を誇る、日本国内で非常に信頼性の高いメール配信システムです。ECカートシステムの障害時という観点から、ブラストメールをおすすめする理由は以下の通りです。
ブラストメール公式サイト:https://blastmail.jp/
圧倒的な安定性と高速配信インフラ
ブラストメールはメール配信専用に最適化された堅牢なサーバーインフラを国内で運用しています。ECカートシステムとは完全に独立した環境であるため、仮にカート側で大規模な障害が発生しても、顧客への緊急連絡(障害報告、お詫び、復旧連絡など)は何の影響も受けずに安定して高速配信できます。
高いメール到達率
緊急連絡メールが「迷惑メールフォルダ」に入ってしまっては意味がありません。ブラストメールは主要な携帯キャリアやISP(インターネットサービスプロバイダ)からのブロックを回避し、確実にメールを届ける技術があります。また、迷惑メールと判定されにくいクリーンなIPアドレスからの分散配信を徹底しており、重要な情報を顧客の受信ボックスへ届けることができます。
万全のセキュリティ体制
顧客のメールアドレスも重要な個人情報です。ブラストメールの運営会社である株式会社ラクスライトクラウドは、情報セキュリティマネジメントシステム(ISMS)の国際規格「ISO/IEC 27001」および「プライバシーマーク(JIS Q 15001)」の認証を取得しています。
これらは第三者機関によって厳格な審査基準が設けられており、その認証を維持していることは、顧客情報を高いセキュリティ基準で適切に管理している証となります。リストの保管先としても安心できる体制が整えられています。
また、ブラストメールは無料トライアルを提供しています。 このトライアル期間中は実際にテストメールを配信したり・管理画面の操作性を体験することができます。まずはお試しいただき、その簡単さを体感してみてください。
