セキュリティニュース

サイクルヒーロー 外部アプリ不正アクセスで顧客情報流出 スマレジ連携アプリ経由 流出範囲は調査中

スマレジ連携アプリ経由で顧客情報流出

自転車販売店サイクルヒーローを展開するサカイサイクル(大阪市)は9日、同社が利用しているPOSシステムと連携する外部アプリにおいて第三者による不正アクセスが発生し、同社が預託した顧客の個人情報が流出したと発表した。1月8日にPOSシステム運用会社のスマレジから、連携する外部アプリベンダーが保有する会員データが不正に取得・公開されたとの報告を受けたという。流出した情報の範囲や件数は現在調査中だ。

【重要】外部アプリへの不正アクセスによる個人情報流出に関するお知らせとお詫び|サイクルヒーローより引用

3行要約

何が起きた:自転車販売店サイクルヒーローを展開するサカイサイクル(大阪市)が利用するPOSシステム(スマレジ)と連携する外部アプリで不正アクセスが発生し、同社が預託した顧客の個人情報が流出した。

影響:流出した情報の範囲や件数は現在調査中。サイクルヒーローメンバーズアプリは今回の事象の対象外で安全。

対応:当該アプリとのデータ連携を直ちに遮断。個人情報保護委員会への報告を進め、外部アプリベンダーに原因究明を要請している。

わかっていること/わかっていないこと

✓ わかっていること

▸ 2026年1月8日にPOSシステム運用会社(スマレジ)から報告を受けた
▸ 外部アプリベンダーが保有する会員データが第三者によって不正に取得・公開された
▸ サイクルヒーローが預託した会員データが含まれていることを確認
▸ サイクルヒーロー独自システムおよびメンバーズアプリへの不正アクセスの痕跡はなし
▸ 当該アプリとのデータ連携および通信を直ちに遮断
▸ サイクルヒーローメンバーズアプリは今回の事象の対象外
▸ 現時点で二次被害は確認されていない

? わかっていないこと(調査中)

▸ 流出した顧客の対象範囲
▸ 流出した情報の具体的な項目
▸ 流出件数
▸ 不正アクセスの具体的な手法
▸ 攻撃者の特定

1月8日にスマレジから報告

同社によると、2026年1月8日、POSシステム運用会社のスマレジより、連携する外部アプリベンダーが保有する会員データが第三者によって不正に取得・公開されたとの報告を受けた。

同社が確認したところ、当該サーバー内に同社が預託した会員データが含まれている事実を確認したという。スマレジは同日、連携外部アプリベンダーから会員データが流出したことを公表していた。

サイクルヒーロー独自システムは安全

同社は、現時点で同社独自のシステム、および「サイクルヒーローメンバーズアプリ」のサーバーへの不正アクセスの痕跡は確認されていないとしている。

同社は顧客に対して、「サイクルヒーローメンバーズアプリに関しては、今回の事象の対象外であるため、引き続き安心してご利用いただけます」と説明している。今回の流出は、あくまでスマレジと連携する外部アプリベンダー側で発生したもので、サイクルヒーロー自身のシステムは侵害されていない。

流出範囲は現在調査中

流出した情報の具体的な範囲や件数については、現在調査中だ。同社は、POSシステム運用会社および外部アプリベンダーと連携し、対象となる顧客の特定、および流出項目の精査を急いでいるという。

同社は「対象範囲、流出の可能性がある項目:調査中(判明次第、速やかにご報告いたします)」としている。詳細が判明次第、ホームページで公表する方針だ。

データ連携を直ちに遮断

同社は、当該アプリとのデータ連携および通信を直ちに遮断したという。これにより、さらなる情報流出のリスクを遮断した形だ。

また、外部アプリベンダーに対し、詳細な原因究明とさらなる被害拡大の防止を強く要請しているとしている。

個人情報保護委員会へ報告

同社は現在、個人情報保護委員会への報告、および関係各所との連携を進めているという。個人情報保護法に基づく適切な対応を進めているとみられる。

個人情報保護法では、個人データの漏えい等が発生し、個人の権利利益を害するおそれがある場合などに、個人情報保護委員会への報告および本人への通知が求められる。同社は調査結果を踏まえて、該当する顧客への個別通知も行うものとみられる。

現時点で二次被害なし

同社は、現時点で本件に関わる二次被害などは確認されていないとしている。ただし、万が一、同社を騙る不審なメールや電話等の連絡が届いた場合には、記載されたURLをクリックしたり、個人情報を回答したりしないよう顧客に注意を呼びかけている。

流出した情報が悪用され、フィッシング詐欺や標的型攻撃に利用される可能性があるため、顧客は引き続き警戒が必要だ。

スマレジ連携アプリでの流出事案

今回の事案は、スマレジと連携する外部アプリベンダー側で発生した不正アクセスによるものだ。スマレジは1月8日、連携外部アプリベンダーから会員データが流出したことを公表している。

スマレジ本体のシステムは侵害されておらず、連携する外部アプリベンダー側からの流出だという。この外部アプリを利用していた複数の事業者に影響が出ている可能性がある。

POSシステムと外部アプリ連携のリスク

POSシステムは、販売管理、在庫管理、顧客管理などの機能を持ち、店舗運営に不可欠なシステムだ。近年のクラウド型POSシステムは、様々な外部アプリと連携できる拡張性を持つことが特徴となっている。

ただし、こうした外部アプリとの連携では、外部アプリベンダー側でも顧客データの一部を保有することになる。今回の事案は、この外部アプリベンダー側でのセキュリティ対策が不十分だったことを示唆している。

サイクルヒーロー利用者が今すぐ確認すべきこと

▸ 不審なメールや電話に注意(サイクルヒーローを騙る連絡の可能性)
▸ 同社ホームページで最新の公式発表を確認
▸ 不明点は公式問い合わせ先(info20260108@sakaicycle.com)へ連絡
▸ メールに記載されたURLを安易にクリックしない
▸ 個人情報の提供を求められても即座に回答しない

スマレジ利用事業者が今すぐ確認すべきこと

▸ 自社が該当する外部アプリを使っていないか確認
▸ スマレジの公式発表を確認し、該当する外部アプリの特定
▸ APIキーや連携トークンの棚卸しと見直し
▸ 外部アプリ側へのデータ提供範囲の再確認
▸ 不要な外部アプリ連携の整理と削除
▸ 外部アプリベンダーのセキュリティ対策状況の確認

サプライチェーン攻撃の一形態

今回の事案は、プラットフォーム本体ではなく、連携する外部ベンダーを標的とした、いわゆる「サプライチェーン攻撃」の一形態と言える。攻撃者は、セキュリティ対策が手薄な関連企業を狙い、そこから本命のターゲットに関連する情報を窃取する。

大手のプラットフォーム事業者は通常、高度なセキュリティ対策を講じているため、攻撃者はより脆弱な連携先を標的とすることが増えている。

サイクルヒーローについて

サイクルヒーローは、サカイサイクル株式会社が大阪府を中心に展開する自転車販売店チェーンだ。堺市駅前店、真田山店、和泉店、なんば店など11店舗を展開している。

同社は独自のメンバーズアプリも提供しており、顧客はポイントを貯めたり、イベント情報を受け取ったりすることができる。今回、このメンバーズアプリは影響を受けていないという。

今後の情報公開

同社は、本件に関する調査結果および再発防止策については、詳細が判明次第、速やかに同社ホームページで公表するとしている。

流出した顧客の範囲や情報の項目が特定され次第、該当する顧客への個別通知も行われる見込みだ。顧客は同社からの公式な発表を注視する必要がある。

問い合わせ先

同社は本件に関する問い合わせ用のメールアドレスとして「info20260108@sakaicycle.com」を設けている。本件に関して不明な点がある顧客は、このアドレスに問い合わせることができる。

タイムライン

日付 項目 内容
2026年1月8日 報告受理 POSシステム運用会社(スマレジ)から外部アプリベンダーの会員データ流出の報告を受ける
2026年1月8日 確認 当該サーバー内にサイクルヒーローが預託した会員データが含まれていることを確認
2026年1月8日 遮断 当該アプリとのデータ連携および通信を直ちに遮断
2026年1月9日 公表 ホームページで事案を公表
調査中 個人情報保護委員会への報告 個人情報保護委員会への報告および関係各所との連携を進めている
調査中 流出範囲の特定 対象となる顧客の特定および流出項目の精査を実施中

※不正アクセスの発生日時は明らかにされていない

外部アプリベンダーへの不正アクセスによる会員データ流出に関するお詫びとお知らせ|株式会社スマレジ
URL: https://smaregi.jp/news/maintenance/20260108.php

参考:スマレジ 連携外部アプリベンダーから会員データ流出 スマレジ本体システムは侵害なし|CCSI
URL: https://ccsi.jp/5825/

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ: