セキュリティニュース

スマレジ外部アプリから約13万6千件流出 「書類上手」で会員データ不正取得

クラウドPOSレジ「スマレジ」を提供するスマレジ(大阪市中央区)は13日、同社が運営する「スマレジ・アプリマーケット」で提供していた外部アプリ「書類上手/見積・請求書,+invoice」において、アプリ提供元の外部ベンダーが管理する会員データが第三者によって不正に取得・公開されていたと発表した。流出した可能性があるのは氏名約13万6千件、電話番号約11万5千件で、同アプリと連携設定を行っていた8社の店舗に属する顧客情報だという。スマレジ本体のサーバーへの不正アクセスやシステムからの情報流出は確認されていない。

【重要】外部アプリにおける個人情報流出について(続報)(スマレジ公式サイト)より引用

【3行要約】

何が起きた:スマレジ・アプリマーケットの外部アプリ「書類上手」から会員データが不正取得・公開された

影響:氏名約13万6千件、電話番号約11万5千件が流出の可能性。8社の店舗に属する顧客情報

対応:当該アプリを非公開化し、アクセスを遮断。審査・管理体制を見直し

わかっていること・わかっていないこと

✓ わかっていること

  • 流出した可能性のある情報:氏名13万6346件、電話番号11万4951件
  • 対象:外部アプリ「書類上手/見積・請求書,+invoice」と連携設定を行っていた8社のPOS契約店舗に属する顧客情報
  • スマレジ本体のサーバーへの不正アクセスは確認されていない
  • スマレジのシステムからの情報流出は確認されていない
  • 2026年1月8日20時50分頃に対象となるPOS契約店舗へ個別メールで連絡
  • 当該アプリをアプリマーケット上で非公開化
  • 当該アプリからスマレジサービスへのアクセスを遮断
  • 外部ベンダーと連携して原因特定に向けた調査を継続中
  • 2026年1月8日に第1報を公表
  • 2026年1月13日に続報を公表

? わかっていないこと

  • 不正アクセスの具体的手法
  • 不正取得された時期
  • 攻撃者の特定
  • 外部ベンダーの具体的なセキュリティ対策の内容
  • 公開されたデータの範囲
  • 二次被害の有無

「書類上手」提供元ベンダーから流出

スマレジによると、同社が運営する「スマレジ・アプリマーケット」で提供していた外部アプリ「書類上手/見積・請求書,+invoice」において、アプリ提供元である外部ベンダーが管理する会員データが、第三者によって不正に取得され、外部で公開されていたことが判明した。

一方、スマレジが運営するサーバーへの不正アクセスや、スマレジ本体のシステムからの情報流出は確認されていないとしている。

氏名約13万6千件、電話番号約11万5千件

調査の結果、流出した可能性のある個人情報は、氏名13万6346件、電話番号11万4951件だという。件数は現時点で確認できているものとしている。

対象は、外部アプリ「書類上手/見積・請求書,+invoice」との連携設定を行っていた8社のPOS契約店舗に属する顧客情報で、各店舗のエンドユーザーに関する情報だという。

対象店舗に個別通知

対象となるスマレジのPOS契約店舗に対しては、2026年1月8日20時50分頃に個別メールで連絡を行ったという。

同社から個別連絡が届いていない契約店舗については、情報流出は確認されていないとしている。

当該アプリを非公開化しアクセス遮断

スマレジは本件確認後、以下の対応を実施したとしている。

まず、当該アプリ「書類上手/見積・請求書,+invoice」をアプリマーケット上で非公開化した。また、当該アプリからスマレジサービスへのアクセスを遮断し、利用およびデータ取得を停止した。

さらに、外部ベンダーと連携して原因特定に向けた継続調査を行っているという。

審査・管理体制を見直しへ

同社は今後について、アプリマーケットにおける審査・管理体制の見直しを行い、同様の事案が再発しないよう対策を講じるとしている。

新たな事実が判明した場合には、速やかに公表するという。

1月8日の第1報

スマレジは2026年1月8日、SNS上で「スマレジがサイバー攻撃を受け、個人情報が流出した」とする投稿が拡散していることを受けて、第1報を公表していた。

同社はこの時点で、社内調査の結果、スマレジのサーバーにおける不正アクセスや不審な挙動は確認されていないと説明。一方、スマレジと連携していた特定の外部アプリにおいて、そのアプリベンダーが保有していた会員データが第三者により不正取得・公開されていた事実が判明したと明らかにしていた。

ハッカーフォーラムで情報公開か

一部報道によると、海外のハッカーフォーラム上で、スマレジへの不正アクセスによる情報窃取を主張する投稿が確認されたという。投稿者は「lulzintel」と名乗り、スマレジに関連するデータベースを不正に取得したと主張し、約10万件規模の顧客情報が含まれているとしていたという。

ただし、現時点で公式な検証はなされておらず、真偽は不明確だ。

サプライチェーン攻撃の一形態

今回の事案は、プラットフォーム本体ではなく、連携する外部ベンダーを標的とした、いわゆる「サプライチェーン攻撃」の一形態と見られる。

大手のプラットフォーム事業者は通常、高度なセキュリティ対策を講じているため、攻撃者はより脆弱な連携先や取引先を標的とすることが増えている。外部アプリベンダーが適切なセキュリティ対策を講じていない場合、そこから情報が流出するリスクがある。

プラットフォーム提供者は、連携する外部アプリベンダーのセキュリティ水準を確認し、定期的に監査することが求められる。

複数の利用店舗が被害公表

スマレジと連携する外部アプリを利用していた企業側からも、被害に関する公表が行われている。

自転車販売店サイクルヒーローを展開するサカイサイクル(大阪市)は9日、POSシステム運用会社のスマレジから、連携する外部アプリベンダーが保有する会員データが不正に取得・公開されたとの報告を受けたと発表。同社が預託した会員データが含まれている事実を確認したという。流出した情報の範囲や件数は調査中としている。

また、料理道具販売の釜浅商店(東京都台東区)も12日、同社が利用するスマレジ・アプリマーケット上の外部提供アプリにおいて、一部の会員情報が第三者により不正に取得・公開されていたと発表している。

クラウドPOSレジ大手

スマレジは、iPadやiPhoneを使用したクラウド型POSレジシステムを提供する企業だ。初期費用や月額費用を抑えて導入できることから、中小規模の店舗を中心に広く利用されている。

同社のシステムは、様々な外部アプリと連携できる拡張性を持つ。在庫管理、会計ソフト、予約システム、配送管理など、多様な外部アプリと連携することで、店舗運営の効率化を図ることができる。

2024年6月時点で、スマレジのアクティブ店舗数は4万4800店舗を超えていた。

タイムライン

日付 出来事
時期不明 外部アプリ「書類上手/見積・請求書,+invoice」から会員データが不正取得・公開される
2026年1月8日未明 ハッカーフォーラムに流出を主張する投稿が掲載される(一部報道による)
2026年1月8日 SNS上で「スマレジがサイバー攻撃を受け、個人情報が流出した」との投稿が拡散
2026年1月8日 スマレジが第1報を公表。外部アプリベンダーから会員データが流出したことを明らかに
2026年1月8日20時50分頃 対象となるPOS契約店舗へ個別メールで連絡
2026年1月8日 当該アプリを非公開化し、アクセスを遮断
2026年1月9日 サイクルヒーローが被害を公表
2026年1月12日 釜浅商店が被害を公表
2026年1月13日 スマレジが続報を公表。氏名約13万6千件、電話番号約11万5千件の流出可能性を明らかに
現在 外部ベンダーと連携して原因特定に向けた調査を継続中

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ: