イエローハット子会社「2りんかん」で318万人の会員データ流出、アプリAPIの脆弱性を突いた攻撃が原因

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo




「バイク用品店のアプリに登録した個人情報、大丈夫?」
「APIってどんな脆弱性があるの?自分の情報は守られているの?」

チップス

ボス!イエローハットの子会社で318万人もの会員データが漏れたって聞きましたが、どうやって攻撃されたんでしゅか?

ボス

アプリのAPIを悪用した攻撃だ。攻撃者はアプリの通信の仕組みを解析し、認証を経ずに会員データを引き出せる脆弱なAPIエンドポイントを突いてきた。近年増加している攻撃手法の典型例だな。

スマートフォンアプリを使ったサービスが普及する中、アプリのバックエンドであるAPIの脆弱性を狙う攻撃は年々増加しています。
今回の事案は、企業がAPIのセキュリティ管理に本格的に向き合う必要性を示すものです。

  • イエローハット連結子会社「2りんかんイエローハット」の会員データ最大約346万人分が、APIを悪用した不正アクセスで流出
  • 攻撃者はアプリの通信を解析し、個人情報を取得できるAPIを認証なしで呼び出すことに成功した
  • 2りんかんアプリは現在利用制限中で、2026年10月をめどにシステムを再構築し再開予定

この記事では、API攻撃の手口と企業が取るべきセキュリティ対策を詳しく解説します。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

2りんかんイエローハットで何が起きたのか

2026年6月、イエローハットは連結子会社の2りんかんイエローハットが運営する会員専用サーバーへの不正アクセスについて、調査結果を発表しました。

漏洩した情報の規模と内容

外部の調査会社による詳細なログ解析の結果、今回の漏洩の全容が判明しました。
流出した情報の概要は以下の通りです。

項目内容
被害人数最大約346万人(2りんかんのポイント・モバイル・アプリ会員)
漏洩した情報氏名・住所・電話番号・生年月日・性別・メールアドレス・会員番号・ポイント残高・アプリユーザーID・アプリパスワード・車両情報など
含まれない情報クレジットカード情報(対象サーバーに保管なし)
現在の状況2りんかんアプリは利用制限中、2026年10月をめどに再開予定

クレジットカード情報は含まれていませんが、メールアドレスやアプリパスワードが漏洩しているため、他サービスへのパスワードリスト攻撃(リスト型攻撃)に悪用される可能性があります。
同じパスワードを複数サービスで使い回している方は、早急に変更が必要です。

チップス

アプリパスワードが漏れているんでしゅか!?同じパスワードを他のサービスでも使っているかもしれないでしゅ……。

ボス

それが最も危険な状況だ。パスワードの使い回しは厳禁だと何度言っても伝わらない。パスワードマネージャーを使い、すべてのサービスで別々のパスワードにしなさい。

攻撃の手口、APIを悪用した情報窃取の仕組み

今回の攻撃が通常の不正アクセスと異なる点は、アプリの通信仕様(API)を直接悪用したことです。
攻撃の流れを整理すると以下の通りです。

  • ①攻撃者が2りんかんモバイルアプリの通信を傍受・解析し、バックエンドAPIの仕様を把握する
  • ②認証チェックが不十分なAPIエンドポイントを発見し、アプリを使わず直接APIを呼び出す
  • ③正規の認証なしに顧客データを取得できる状態となり、大量の会員情報が持ち出される

この手法は「API認証不備(Broken Object Level Authorization)」と呼ばれ、OWASP API Security Top 10でも最重要リスクに分類されています。
スマートフォンアプリを提供する企業の多くが同様のリスクを抱えている可能性があり、業界全体の課題でもあります。

API脆弱性の根本原因と企業が取るべき対策

今回の事案はAPI特有のセキュリティリスクを浮き上がらせました。

APIセキュリティで見落とされやすいポイント

アプリのAPIに起因する情報漏洩が増加している背景には、次のような管理上の甘さがあります。

  • APIエンドポイントごとに認証・認可のチェックが正しく実装されていない
  • レートリミット(短時間の大量リクエスト制限)が設定されておらず、大量データの抽出が可能になっている
  • APIの通信ログを監視していないため、不正なアクセスパターンを検知できない

これらは開発段階でのセキュリティ設計(セキュア・バイ・デザイン)で防げる問題です。
しかし実際には、リリース優先でセキュリティのレビューが後回しにされるケースが少なくありません。

チップス

アプリを作る側が対策しておけば防げた問題なんでしゅね……。利用者としては何もできないんでしゅか?

ボス

利用者にできることは限られているが、パスワードの使い回しをやめること、メールアドレスを使ったサービス登録を必要最小限にすること、この2つだけで被害を大きく減らせる。企業側の対策と個人の習慣、両方が必要だな。

APIを提供する企業が実施すべき対策

スマートフォンアプリのバックエンドAPIを提供している企業が、今すぐ確認すべき対策は以下の通りです。

  • すべてのAPIエンドポイントに対して、アクセス権限の認証・認可チェックを実装する
  • APIゲートウェイを導入し、レートリミットや異常トラフィックの検知・遮断を自動化する
  • 定期的なペネトレーションテストやAPIセキュリティスキャンを実施し、脆弱なエンドポイントを検出する
  • OWASP API Security Top 10を参照し、開発チームのAPIセキュリティ知識を底上げする

今回の被害を受けた2りんかんでは、アプリ本体のセキュリティ強化と通信の監視強化を含めたシステム再構築を進めており、2026年10月をめどにサービスを再開する予定です。

まとめ

2りんかんイエローハットで起きた最大約346万人分の会員データ流出は、アプリのAPIを悪用した不正アクセスによるものでした。
認証チェックの不備というAPIセキュリティの基本的な問題が、大規模な個人情報漏洩につながった事案です。
パスワードが漏洩している可能性がある方は、他サービスでも同じパスワードを使用していないか今すぐ確認し、異なるパスワードに変更してください。
企業としては、アプリのAPIセキュリティを開発段階から組み込むことが、利用者の信頼を守る最低限の責任です。

チップス

これを機に、パスワードマネージャーを使って全部バラバラのパスワードにするでしゅ!二度とこんな思いしたくないでしゅ!

ボス

その判断は正しい。パスワードマネージャーを使えば覚える必要はないし、長くて複雑なパスワードを各サービスで設定できる。セキュリティの基本中の基本だ、ぜひ続けてほしいな。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次