スマレジの外部アプリ企業への不正アクセスで個人情報漏洩の恐れーハッカーがサイバー攻撃で10万件の情報窃取を主張

セキュリティニュース

投稿日時: 更新日時:

スマレジの外部アプリ企業への不正アクセスで個人情報漏洩の恐れーハッカーがサイバー攻撃で10万件の情報窃取を主張

株式会社スマレジは2026年1月8日、情報漏洩疑惑についてのリリースを公表しました。

関連:スマレジ、外部連携アプリへの不正アクセスで約13万件の個人情報漏洩の恐れ

概要

この中で同社は、SNS上で拡散している「スマレジがサイバー攻撃を受け、個人情報が流出した」とする投稿について、社内調査の結果、スマレジのサーバーにおける不正アクセスや不審な挙動は確認されていないと説明しています。

一方で、問題の背景として、スマレジと連携していた「特定の外部アプリ」において、そのアプリベンダーが保有していた会員データが第三者により不正取得・公開されていた事実が判明したことを明らかにしました。

スマレジは、事象を確認後すぐに当該外部アプリとの通信を遮断し、アプリベンダーと連携しながら原因調査を進めているとしています。また、影響が確認された利用者には個別に連絡を行い、連絡が届いていない顧客についてはデータ流出は確認されていないと説明しました。

サイクルヒーロー:会員データが流出した可能性

スマレジと連携する外部アプリを利用していた企業側からも、被害に関する具体的な公表が行われています。

自転車販売店を展開する サイクルヒーロー は、2026年1月9日、「外部アプリへの不正アクセスによる個人情報流出に関するお知らせとお詫び」を発表しました。

同社によると、2026年1月8日にPOSシステム運用会社から連絡を受け、スマレジと連携する外部アプリベンダーのサーバーが不正アクセスを受け、同社が預託していた会員データが当該サーバー内に含まれていた事実を確認したとしています。

現時点では、

  • サイクルヒーロー独自のシステム

  • 同社の公式メンバーズアプリ
    への不正アクセスは確認されていないとしつつも、流出範囲や項目については「現在調査中」としています。

同社は、当該アプリとのデータ連携を直ちに遮断し、個人情報保護委員会への報告や、外部アプリベンダーへの原因究明と再発防止の要請を進めていると説明しています。

1/13にはサイクルヒーローと同様に釜浅商店もリリースを発表しています

ハッカー側の犯行声明:スマレジ関連データの流出を主張

一方、海外のハッカーフォーラム上では、2026年1月にスマレジへの不正アクセスによる情報窃取を主張する投稿が確認されました。
投稿者は、スマレジに関連するデータベースを不正に取得したと主張し、約10万件規模の顧客情報が含まれているとしています。

スマレジの外部アプリ企業への不正アクセスで個人情報漏洩の恐れーハッカーがサイバー攻撃で10万件の情報窃取を主張

フォーラム上には、

  • 氏名

  • 電話番号

  • 住所

  • 会員情報を示唆するSQL形式のデータ断片
    などがサンプルとして掲載されており、実在の日本語氏名や電話番号形式が含まれていることも確認されています。

ただし、この犯行声明については、

  • データがスマレジ本体のサーバー由来なのか

  • 外部アプリや第三者システム由来なのか

  • 実際に最新かつ有効な情報なのか
    といった点は第三者機関による検証が行われておらず、真偽の確定には至っていません。

情報の食い違いと現時点での整理

現時点で明らかになっている事実を整理すると、以下のようになります。

  • スマレジは自社サーバーへの不正アクセスやデータ流出を公式に否定している

  • 外部アプリベンダーの管理下にあった会員データが不正取得・公開された事実は確認されている

  • 外部アプリを利用していた企業(サイクルヒーローなど)は、自社が預託した会員データが流出した可能性を認めている

  • ハッカーは「スマレジ関連データ」として流出を主張しているが、データの正確な出所は未確定

つまり、問題の中心はスマレジ本体ではなく、連携していた外部アプリおよびその運用体制にある可能性が高いと考えられます。