オートバイ用品専門店「2りんかん」を運営する株式会社2りんかんイエローハット(東京都港区、イエローハットの連結子会社)は2026年6月19日、公式サイトで「2りんかんアプリ」会員専用サーバーへの不正アクセス 事案について、外部調査会社による調査が完了したとして最終報を公表しました。当サイトが既報した第一報(2026年4月23日)・第二報(2026年5月1日)に続く今回の最終報では、詳細なログ解析の結果、アプリの仕組み(API)を悪用した不正アクセスにより会員データが取得されたことが特定されました。
漏洩した対象データ数は317万9,454名分で確定し、第二報時点の「最大345万5,754名分」から件数が下方修正されています。対象者は2りんかん(旧ドライバースタンド含む)のポイント・モバイル・アプリ会員で、氏名・住所・電話番号・生年月日・性別・メールアドレス・会員番号・アプリユーザーID・アプリパスワード・ポイント残高・車両情報が漏洩した項目として確定しました。クレジットカード情報については外部の決済システムを利用し社内で情報を保持していないため、漏洩は発生していません。
現在利用が制限されている「2りんかんアプリ」は、セキュリティ強化を伴うシステム再構築を経て2026年10月を目途にサービス再開を予定しています。本記事では最終報の内容・第一報からの経緯・原因・再開に向けた対応を整理して解説します。
サマリー
- 公表日:2026年6月19日(最終報)
- 発表元:株式会社2りんかんイエローハット
- 漏洩件数(確定):317万9,454名分(第二報の「最大345万5,754名分」から下方修正・確定)
- 対象者:2りんかん(旧ドライバースタンド含む)のポイント会員・モバイル会員・アプリ会員
- 漏洩した項目:氏名・住所・電話番号・生年月日・性別・メールアドレス・会員番号・アプリユーザーID・アプリパスワード・ポイント残高・車両情報
- クレジットカード情報:外部決済システム利用のため漏洩なし
- 原因(最終報で判明):アプリの仕組み(API)を悪用した不正アクセス
- 対象者への対応:ホームページ掲載・電話・アプリ内通知・メール・SMS・書面発送による個別の通知をすべて実施済み
- SMS発信元:050-5846-7909 または 243063(発信専用番号)
- アプリ再開予定:2026年10月目途。アプリ本体のセキュリティ強化・通信監視強化を含むシステム再構築を実施中
- 再開時の対応:全アプリ会員を一斉ログアウトし、再ログイン時に新しいパスワード設定を必須化
- アプリ停止中の代替対応:
- ネット予約:WEB予約サイト(
https://2rinkan-pit-web.resv.jp/)から継続利用可能 - オイル会員特典:有効期限を全会員に無償延長、アプリ停止中も利用可能
- 買い物ポイント:電話番号検索により加算可能(利用時は本人確認)
- ネット予約:WEB予約サイト(
- 公的機関対応:個人情報保護委員会への最終報告(確報)提出済み・同委員会と連携継続。所轄警察への被害申告・捜査協力を継続
- 専用問い合わせ窓口:0120-853-049(フリーダイヤル)平日10:00〜19:00
目次
第一報からの経緯
当サイトの既報を踏まえ、本事案の全体像を時系列で整理します。
| 公表日 | 報告段階 | 主な内容 |
|---|---|---|
| 2026年4月23日 | 第一報 | 4月20日夕刻に会員専用サーバーへの不正アクセスを検知。ネットワーク遮断等の緊急措置を実施。会員情報漏洩の可能性を公表。アプリサービスの一部停止 |
| 2026年5月1日 | 第二報 | 第三者機関による精査の結果、漏洩の可能性がある件数を最大3,455,754名分と公表。対象項目(氏名・住所・電話番号・生年月日・性別・メールアドレス・会員番号・ポイント残高・アプリユーザーID・アプリパスワード・車両情報等)を明示 |
| 2026年6月19日 | 最終報(今回) | 調査完了。漏洩件数を317万9,454名分に確定(下方修正)。原因をAPI悪用と特定。対象者への通知完了を報告。アプリ再開目途(2026年10月)を発表 |
当サイトが第二報時点で報じた通り、345万件超という規模はBtoC企業の漏洩事案としても重大であり、アプリパスワードが含まれていたことから他サービスへのパスワード使い回し(リスト型攻撃)への警戒が呼びかけられていました。
今回の最終報で件数は317万9,454名分に確定しましたが、依然として国内有数の大規模な個人情報漏洩事案であることに変わりはありません。
原因の特定—「APIの脆弱性悪用」とは
最終報で新たに明らかにされた最も重要な情報は、不正アクセスの**原因(手口)**です。最終報は「アプリの仕組み(API)を悪用した不正アクセスにより、会員データが取得された」と説明しています。
API(Application Programming Interface)は、アプリとサーバー間でデータをやり取りするための「窓口」にあたる仕組みです。スマートフォンアプリの多くは、会員情報・ポイント残高・車両情報といったデータをサーバーから取得・更新するためにAPIを利用しますが、このAPIに認証・認可の不備や入力検証の欠如があると、攻撃者が本来アクセスできないはずの大量の会員データに不正にアクセスできてしまうケースがあります。
具体的にどのような脆弱性であったか(例:APIの認可制御の不備によるIDOR=Insecure Direct Object Referenceのようなものか、あるいは別の種類の欠陥か)について、最終報の公開情報からは詳細な技術的内容までは明らかにされていません。
しかし「APIの仕組みを悪用」という表現は、アプリのバックエンドAPIが大量の会員レコードへ大規模かつ機械的にアクセスされた可能性を示唆しており、いわゆる「バルクデータの抜き取り」型の攻撃であった可能性が考えられます。
対象者への通知—全チャネルを活用した個別対応
2りんかんイエローハットは、対象となる可能性のあるすべての顧客に対し、以下の全チャネルを通じて個別の通知を実施したと報告しています。
- ホームページへの掲載
- 電話
- アプリ内通知
- メール
- SMS(発信専用番号:050-5846-7909 または 243063)
- 書面発送
複数のチャネルを併用した通知体制は、高齢の会員や特定の連絡手段にアクセスできない会員も含め、できる限り多くの対象者へ確実に情報を届けようとする姿勢の表れと評価できます。
アプリ再開に向けたロードマップ
2026年10月目途の再開
現在利用が制限されている「2りんかんアプリ」は、アプリ本体のセキュリティ強化および通信の監視強化を含むシステム再構築を経て、2026年10月を目途にサービス再開を目指すとされています。具体的な案内は、再開が近づいた段階で公式ホームページにて告知される予定です。
再開時の重要な変更点——全会員の一斉ログアウト
再開時にはすべてのアプリ会員に対して一斉ログアウトが行われ、ログインの際には新しいパスワードの設定が必須となります。これは、漏洩したアプリパスワードが悪用されるリスクを根本的に排除するための措置です。
アプリ停止中の代替サービス
アプリが利用できない期間も、顧客の利便性を確保するため以下の代替対応が継続されています。
| サービス | 代替対応 |
|---|---|
| ネット予約 | アプリの有無にかかわらずWEBから予約可能(https://2rinkan-pit-web.resv.jp/) |
| オイル会員期限 | アプリから確認できないため、全会員に対して有効期限を無償延長。アプリ停止中も特典利用可能 |
| お買い物ポイント | 電話番号検索によりポイント加算が可能。ポイント利用時は本人確認が必要 |
情報システム担当者への教訓—APIセキュリティの重要性
今回の事案は、モバイルアプリのバックエンドAPIに存在する脆弱性が、300万件超という極めて大規模な個人情報漏洩につながりうることを改めて示す事例です。情報システム担当者が確認すべきポイントを整理します。
①APIの認可制御(Authorization)の徹底検証:APIエンドポイントごとに、リクエストしたユーザーが本当にそのデータへアクセスする権限を持っているかを厳格に検証する仕組みが必要です。IDOR(Insecure Direct Object Reference)のような、IDを連番で変えるだけで他人のデータにアクセスできてしまう脆弱性は、特に注意すべき典型的な不備です。
②レート制限・異常検知の実装:今回のような「大量の会員データへの機械的なアクセス」を早期に検知するため、APIへのリクエスト頻度・パターンを監視し、通常の利用とは異なる大量アクセスを検知・遮断する仕組み(レート制限・WAF・異常検知)の導入が重要です。
③パスワードの保存方式の見直し:今回の漏洩項目には「アプリパスワード」が明記されています。パスワードが適切にハッシュ化・ソルト処理されていれば直接的な悪用は困難になりますが、漏洩した時点でリスト型攻撃(パスワードリスト攻撃)への警戒が必要になることに変わりはありません。会員のパスワード強制リセットは適切な対応です。
④侵害発覚から確報までの期間:今回の事案では2026年4月20日の検知から6月19日の最終報まで約2か月を要しています。大規模な会員データベースを扱うサービスほど、フォレンジック調査・件数の精査には相応の時間がかかることを踏まえた、段階的な情報開示計画(第一報・第二報・最終報)の重要性を示す事例でもあります。
利用者が今すぐ確認すべきこと
① パスワードの使い回しを確認
漏洩した項目に「アプリパスワード」が含まれているため、2りんかんアプリと同じパスワードを他のサービスで使い回している場合は、直ちに変更してください。
② 不審な連絡に注意
メール・SMS・電話で2りんかんを名乗る不審な連絡を受けた場合、記載されたリンクへのアクセスや個人情報の入力は行わず、公式の専用窓口(0120-853-049)で真偽を確認してください。
③ アプリ再開時は新パスワードを設定
2026年10月の再開時には全会員が一斉ログアウトされ、新しいパスワードの設定が必須となります。再開の案内が届いた際は、これまでとは異なる、他のサービスで使用していない新しいパスワードを設定してください。
④ 車両情報の漏洩にも留意
今回の漏洩項目には車両情報(ナンバープレート・メーカー・車種等)も含まれています。直接的な金銭被害につながる可能性は低いものの、車両情報を悪用したなりすまし等の二次被害が報告された場合は、速やかに専用窓口へ相談してください。
FAQ
Q. なぜ件数が345万件から317万件に減ったのですか? A. 第二報の時点では「第三者機関による精査の結果、最大3,455,754名分」という上限値での発表でした。最終報では詳細調査の結果、実際に漏洩したと特定できる件数が317万9,454名分に確定したため、件数が下方修正されています。
Q. 自分が対象かどうか確認するにはどうすればいいですか? A. 対象となる可能性のある顧客には、ホームページ・電話・アプリ内通知・メール・SMS・書面のすべてのチャネルを通じて個別の通知が既に実施されています。通知が届いていないが不安な方は、専用相談窓口(0120-853-049)にお問い合わせください。
Q. アプリが再開したら、これまでのポイント・会員情報は引き継がれますか? A. 公式発表では会員情報の引き継ぎ有無について明記されていませんが、オイル会員特典の無償延長等から、既存会員データの保持を前提とした運用方針がうかがえます。詳細は再開時の公式案内をご確認ください。
参考情報
- 株式会社2りんかんイエローハット「当社における不正アクセスによる個人情報漏えいに関するお詫びとお知らせ【最終報】」(2026年6月19日)
- 当サイト既報・第一報:イエローハット子会社、「2りんかんアプリ」の会員の個人情報が漏洩の恐れ(2026年4月23日)
- 当サイト既報・第二報:イエローハット 子会社、「2りんかんアプリ」の不正アクセスで最大345万5,754名分の個人情報漏洩の恐れ(2026年5月1日)
- 当サイト関連:2026年5月 個人情報漏洩の事例まとめ
- 当サイト関連:不正アクセスとは——定義・件数・手口・目的・防止策を専門家が解説【2026年最新】
- 当サイト関連:【2026年】サイバー攻撃・情報漏洩の最新事例まとめ
関連記事
イエローハット 子会社、「2りんかんアプリ」の不正アクセスで最大345万5,754名分の個人情報漏洩の恐れ
イエローハット 子会社、「2りんかんアプリ」の会員の個人情報が漏洩の恐れ
いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年5月29日時点】
2026年5月 個人情報漏洩の事例 まとめ
貸金業 キャッシングのキャネット、不正アクセスで10,981名の個人情報漏洩
学習塾運営のCKCネットワーク・学参がランサムウェア 被害で個人情報漏洩の恐れ
エロビデオ通話のKyuun サイバー攻撃で3万9,267件の個人情報漏洩-ハッカーが不正アクセスを主張
2026年4月 個人情報漏洩の事例 まとめ
良知経営、不正アクセスの最終報を公表「情報流出の痕跡なし」
