「バイク用品店のアプリに登録した個人情報、大丈夫?」 「APIってどんな脆弱性があるの?自分の情報は守られているの?」
ボス!イエローハットの子会社で318万人もの会員データが漏れたって聞きましたが、どうやって攻撃されたんでしゅか?
アプリのAPIを悪用した攻撃だ。攻撃者はアプリの通信の仕組みを解析し、認証を経ずに会員データを引き出せる脆弱なAPIエンドポイントを突いてきた。近年増加している攻撃手法の典型例だな。
スマートフォンアプリを使ったサービスが普及する中、アプリのバックエンドであるAPIの脆弱性を狙う攻撃は年々増加しています。 今回の事案は、企業がAPIのセキュリティ管理に本格的に向き合う必要性を示すものです。
イエローハット連結子会社「2りんかんイエローハット」の会員データ最大約346万人分が、APIを悪用した不正アクセスで流出
攻撃者はアプリの通信を解析し、個人情報を取得できるAPIを認証なしで呼び出すことに成功した
2りんかんアプリは現在利用制限中で、2026年10月をめどにシステムを再構築し再開予定
この記事では、API攻撃の手口と企業が取るべきセキュリティ対策を詳しく解説します。
目次
2りんかんイエローハットで何が起きたのか
2026年6月、イエローハットは連結子会社の2りんかんイエローハットが運営する会員専用サーバーへの不正アクセスについて、調査結果を発表しました。
漏洩した情報の規模と内容
外部の調査会社による詳細なログ解析の結果、今回の漏洩の全容が判明しました。 流出した情報の概要は以下の通りです。
項目 内容 被害人数 最大約346万人(2りんかんのポイント・モバイル・アプリ会員) 漏洩した情報 氏名・住所・電話番号・生年月日・性別・メールアドレス・会員番号・ポイント残高・アプリユーザーID・アプリパスワード・車両情報など 含まれない情報 クレジットカード情報(対象サーバーに保管なし) 現在の状況 2りんかんアプリは利用制限中、2026年10月をめどに再開予定
クレジットカード情報は含まれていませんが、メールアドレスやアプリパスワードが漏洩しているため、他サービスへのパスワードリスト攻撃(リスト型攻撃)に悪用される可能性があります。 同じパスワードを複数サービスで使い回している方は、早急に変更が必要です。
アプリパスワードが漏れているんでしゅか!?同じパスワードを他のサービスでも使っているかもしれないでしゅ……。
それが最も危険な状況だ。パスワードの使い回しは厳禁だと何度言っても伝わらない。パスワードマネージャーを使い、すべてのサービスで別々のパスワードにしなさい。
攻撃の手口、APIを悪用した情報窃取の仕組み
今回の攻撃が通常の不正アクセスと異なる点は、アプリの通信仕様(API)を直接悪用したことです。 攻撃の流れを整理すると以下の通りです。
①攻撃者が2りんかんモバイルアプリの通信を傍受・解析し、バックエンドAPIの仕様を把握する
②認証チェックが不十分なAPIエンドポイントを発見し、アプリを使わず直接APIを呼び出す
③正規の認証なしに顧客データを取得できる状態となり、大量の会員情報が持ち出される
この手法は「API認証不備(Broken Object Level Authorization)」と呼ばれ、OWASP API Security Top 10でも最重要リスクに分類されています。 スマートフォンアプリを提供する企業の多くが同様のリスクを抱えている可能性があり、業界全体の課題でもあります。
API脆弱性の根本原因と企業が取るべき対策
今回の事案はAPI特有のセキュリティリスクを浮き上がらせました。
APIセキュリティで見落とされやすいポイント
アプリのAPIに起因する情報漏洩が増加している背景には、次のような管理上の甘さがあります。
APIエンドポイントごとに認証・認可のチェックが正しく実装されていない
レートリミット(短時間の大量リクエスト制限)が設定されておらず、大量データの抽出が可能になっている
APIの通信ログを監視していないため、不正なアクセスパターンを検知できない
これらは開発段階でのセキュリティ設計(セキュア・バイ・デザイン)で防げる問題です。 しかし実際には、リリース優先でセキュリティのレビューが後回しにされるケースが少なくありません。
アプリを作る側が対策しておけば防げた問題なんでしゅね……。利用者としては何もできないんでしゅか?
利用者にできることは限られているが、パスワードの使い回しをやめること、メールアドレスを使ったサービス登録を必要最小限にすること、この2つだけで被害を大きく減らせる。企業側の対策と個人の習慣、両方が必要だな。
APIを提供する企業が実施すべき対策
スマートフォンアプリのバックエンドAPIを提供している企業が、今すぐ確認すべき対策は以下の通りです。
すべてのAPIエンドポイントに対して、アクセス権限の認証・認可チェックを実装する
APIゲートウェイを導入し、レートリミットや異常トラフィックの検知・遮断を自動化する
定期的なペネトレーションテストやAPIセキュリティスキャンを実施し、脆弱なエンドポイントを検出する
OWASP API Security Top 10を参照し、開発チームのAPIセキュリティ知識を底上げする
今回の被害を受けた2りんかんでは、アプリ本体のセキュリティ強化と通信の監視強化を含めたシステム再構築を進めており、2026年10月をめどにサービスを再開する予定です。
まとめ
2りんかんイエローハットで起きた最大約346万人分の会員データ流出は、アプリのAPIを悪用した不正アクセスによるものでした。 認証チェックの不備というAPIセキュリティの基本的な問題が、大規模な個人情報漏洩につながった事案です。 パスワードが漏洩している可能性がある方は、他サービスでも同じパスワードを使用していないか今すぐ確認し、異なるパスワードに変更してください。 企業としては、アプリのAPIセキュリティを開発段階から組み込むことが、利用者の信頼を守る最低限の責任です。
これを機に、パスワードマネージャーを使って全部バラバラのパスワードにするでしゅ!二度とこんな思いしたくないでしゅ!
その判断は正しい。パスワードマネージャーを使えば覚える必要はないし、長くて複雑なパスワードを各サービスで設定できる。セキュリティの基本中の基本だ、ぜひ続けてほしいな。