スマレジ、外部連携アプリへの不正アクセスで約13万件の個人情報漏洩の恐れ|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年01月14日更新日時: 2026年01月14日

スマレジは2026年1月13日、同社が運営する「スマレジ・アプリマーケット」で提供されていた外部アプリに関連し、個人情報が流出した可能性がある事案の続報を公表しました。今回の発表では、流出した情報の具体的な内容や件数、同社の対応方針が明らかにされています。

本件は2026年1月8日に公表された外部アプリに関するデータ流出事案の追加調査結果であり、スマレジは「事態を重く受け止めている」とした上で、利用者や関係者に対して改めて謝罪しています。

外部アプリ提供元の管理データが不正取得・公開

スマレジによると、問題が確認されたのは「スマレジ・アプリマーケット」で提供されていた外部アプリ
「書類上手／見積・請求書、＋invoice」です。
このアプリの提供元である外部ベンダーが管理していた会員データが、第三者によって不正に取得され、外部で公開されていたことが判明しました。

一方で、スマレジが運営するサーバーへの不正アクセスや、スマレジ本体のシステムからの情報流出は確認されていないとしています。

なお、現時点で公式な検証がなされておらず、真偽が不明確です。

調査の結果、以下の個人情報が流出した可能性があることが分かっています。

※件数はいずれも現時点で確認できているものとされています。

対象となるスマレジのPOS契約店舗に対しては、2026年1月8日20時50分頃に個別メールで連絡が行われています。
なお、スマレジから個別連絡が届いていない契約店舗については、情報流出は確認されていないとしています。

スマレジは本件を受け、以下の対応をすでに実施しています。

今後については、アプリマーケットにおける審査・管理体制の見直しを行い、同様の事案が再発しないよう対策を講じるとしています。新たな事実が判明した場合には、速やかに公表するとしています。

外部アプリ連携を含むシステムに対しては、次のような対策が必要です。

外部ベンダーに対しては、セキュリティポリシーや運用体制の確認、第三者監査の実施を義務化することが重要です。
外部ベンダーのセキュリティレベルが不十分だと、プラットフォーム自体の信頼にも影響します。

連携アプリが取得可能なデータを最小限に限定する権限設計にすることで、万が一連携先が侵害されても流出データの範囲を限定できます。

プラットフォーム側・アプリベンダー側双方で脆弱性診断、ペネトレーションテスト、ログ分析を定期的に実施し、不審なアクセスや異常なデータ抽出を早期に検知する仕組みが必要です。

事案発覚時には、影響範囲・被害状況・対応方針を速やかに公開することが利用者の信頼を保つうえでも重要です。
公式発表を通じて、どこまでが検証済みでどこが未確定情報かを明確に伝えることが不可欠です。

二次被害（フィッシング・詐欺・なりすまし）を防ぐため、対象ユーザーに対して不審連絡への注意喚起を継続的に実施し、万が一不正利用が疑われる場合の相談窓口や補償情報を提供することが推奨されます。