セキュリティニュース

2026/1/19

【週間まとめ】2026年1月第2週のサイバーセキュリティニュース　サプライチェーン攻撃と不正アクセスが深刻化

2026年1月11日から1月18日までの1週間に報道されたサイバーセキュリティインシデントをまとめた。今週は、スマレジのアプリマーケットを経由したサプライチェーン攻撃により約13万6千件の個人情報が流出するなど、外部連携サービスを経由した被害が目立った。また、Booking.comを経由したフィッシング詐欺や、ペイメントアプリケーションの改ざんによるクレジットカード情報流出など、多様な攻撃手法による被害が確認された。全体として、プラットフォーム本体ではなく、連携先や外部サービスを狙った攻撃の増加傾向が顕著となっている。

今週の傾向

見出し

1 今週の傾向
2 インシデント種別統計
3 業種別統計
4 サプライチェーン攻撃
5 フィッシング詐欺
- 5.1 山のホテル　Booking.com経由で予約顧客にフィッシング詐欺
6 ペイメント改ざん
- 6.1 田中屋本店　決済アプリ改ざんでカード情報677件流出か
7 管理者権限の不正使用
- 7.1 シーエーシー　寄附金申請サービスで管理者権限を不正使用
8 偽サイト
- 8.1 ラブキャラ診断64を装う偽サイトに注意喚起
9 今週の注目トピック
10 今週の対策ポイント
11 来週への注目点
12 集計ルール（メソドロジー）

第一に、サプライチェーン攻撃が深刻化している。スマレジのアプリマーケット上の外部アプリ「書類上手」から約13万6千件の個人情報が流出し、複数の利用店舗（サイクルヒーロー、釜浅商店など）が被害を公表した。プラットフォーム本体ではなく、連携する外部ベンダーのセキュリティの脆弱性が狙われた典型的な事例だ。

第二に、予約・決済プラットフォームを経由したフィッシング詐欺が発生している。山のホテルでは、Booking.comが不正アクセスを受け、予約顧客にWhatsAppを通じてフィッシングサイトへ誘導するメッセージが配信された。大手プラットフォームを経由することで、顧客の信頼を悪用する手口が目立つ。

第三に、ペイメントアプリケーションの改ざんによるクレジットカード情報流出が確認された。田中屋本店では、決済システムの脆弱性を突かれ、ペイメントアプリケーションが改ざんされ、クレジットカード情報677件と個人情報5610件が流出した可能性がある。

第四に、管理者権限の不正使用や認証情報の窃取といった、内部システムへの侵入を目的とした攻撃が継続している。シーエーシーでは、寄附金申請サービスで管理者権限が不正に使用されたことが確認された。現時点で流出の痕跡はないが、「個人データの漏洩が生じたおそれがある事態」として当局に報告している。

インシデント種別統計

攻撃種別	件数	主な事例
サプライチェーン攻撃	3件	スマレジ外部アプリ（約13万6千件）、サイクルヒーロー、釜浅商店
フィッシング詐欺	1件	山のホテル（Booking.com経由）
ペイメント改ざん	1件	田中屋本店（カード情報677件、個人情報5610件）
管理者権限の不正使用	1件	シーエーシー（流出痕跡なし、おそれとして報告）
偽サイト	1件	ラブキャラ診断64
合計	7件	－

注：スマレジ関連は、本体発表とサイクルヒーロー、釜浅商店の発表を同一事案として3件にカウント。Cloudflare（ISMAP登録）はセキュリティインシデントではないため除外。

業種別統計

業種	件数	主な組織
IT・ソフトウェア	2件	スマレジ（POSプラットフォーム）、シーエーシー（SIer）
小売・EC	3件	田中屋本店（笹だんご）、サイクルヒーロー（自転車）、釜浅商店（料理道具）
宿泊・観光	1件	山のホテル（小田急リゾーツ）
エンターテイメント	1件	ラブキャラ診断64
合計	7件	－

サプライチェーン攻撃

スマレジ外部アプリから約13万6千件流出　複数店舗が被害公表

クラウドPOSレジ「スマレジ」を提供するスマレジ（大阪市中央区）は13日、同社が運営する「スマレジ・アプリマーケット」で提供していた外部アプリ「書類上手/見積・請求書,+invoice」において、アプリ提供元の外部ベンダーが管理する会員データが第三者によって不正に取得・公開されていたと発表した。流出した可能性があるのは氏名約13万6千件、電話番号約11万5千件で、同アプリと連携設定を行っていた8社の店舗に属する顧客情報だという。スマレジ本体のサーバーへの不正アクセスやシステムからの情報流出は確認されていない。

漏えい状況：確認｜影響範囲：個人｜ステータス：調査中

→ スマレジ外部アプリから約13万6千件流出　「書類上手」で会員データ不正取得（続報）

一次ソース： 【重要】外部アプリにおける個人情報流出について（続報）（スマレジ公式サイト）

サイクルヒーロー　スマレジ連携アプリ経由で顧客情報流出

自転車販売店サイクルヒーローを展開するサカイサイクル（大阪市）は9日、同社が利用しているPOSシステムと連携する外部アプリにおいて第三者による不正アクセスが発生し、同社が預託した顧客情報が流出した可能性があると発表した。POSシステム運用会社のスマレジから、連携する外部アプリベンダーが保有する会員データが不正に取得・公開されたとの報告を受けたという。流出した情報の範囲や件数は調査中としている。

漏えい状況：可能性あり｜影響範囲：個人｜ステータス：調査中

→ サイクルヒーロー　外部アプリ不正アクセスで顧客情報流出　スマレジ連携アプリ経由　流出範囲は調査中（第1報）

釜浅商店　スマレジ連携外部アプリから会員情報流出

料理道具販売の釜浅商店（東京都台東区松が谷）は12日、同社が利用するスマレジ・アプリマーケット上の外部提供アプリにおいて、一部の会員情報が第三者により不正に取得され、公開されていた事実が判明したと発表した。流出した可能性があるのは氏名と電話番号で、件数は調査中だという。

漏えい状況：確認｜影響範囲：個人｜ステータス：調査中

→ 釜浅商店　スマレジ連携外部アプリから会員情報流出　氏名と電話番号が不正取得・公開（第1報）

フィッシング詐欺

山のホテル　Booking.com経由で予約顧客にフィッシング詐欺

小田急リゾーツ（神奈川県小田原市）は15日、同社が運営する「山のホテル」において、宿泊予約サイト「Booking.com」が不正アクセスを受け、同サイト経由で予約した一部顧客の個人情報が第三者に閲覧された可能性があると発表した。また、一部顧客に対してWhatsApp等のメッセージアプリを通じて、フィッシングサイトに誘導するメッセージが配信されたことを確認したという。メッセージは予約確認を装い、「24時間以内に手続き完了しないとキャンセル」という緊急性を演出する内容だった。現時点で個人情報の流出は確認されていない。

漏えい状況：可能性あり｜影響範囲：個人｜ステータス：調査中

→ 山のホテル　Booking.com経由で予約の顧客にフィッシング詐欺　不正アクセスで個人情報閲覧の可能性（第1報）

一次ソース： 不正アクセスによるお客様の個人情報の第三者閲覧の可能性およびフィッシングサイトへ誘導するメッセージ配信に関するお詫びとお知らせ（株式会社小田急リゾーツ公式サイト）

ペイメント改ざん

田中屋本店　決済アプリ改ざんでカード情報677件流出か

笹だんご製造販売の田中屋本店（新潟県新潟市江南区）は、同社が運営する「田中屋本店オンラインショップ」が第三者による不正アクセスを受け、クレジットカード情報677件および個人情報5610件が漏えいした可能性があると発表した。システムの脆弱性を突かれ、決済アプリケーションが改ざんされたという。クレジットカード情報の対象期間は2025年3月14日から9月30日まで、個人情報は2022年7月21日から2025年8月12日までだ。同社はクレジットカード情報を保持していないとしている。

漏えい状況：可能性あり｜影響範囲：個人｜ステータス：調査中

→ 田中屋本店　ペイメント改ざんでカード情報677件流出か　個人情報は5610件（第1報）

一次ソース： 田中屋本店オンラインショップにおける個人情報漏洩に関するお詫びとお知らせ（田中屋本店公式サイト）

管理者権限の不正使用

シーエーシー　寄附金申請サービスで管理者権限を不正使用

システムインテグレーター大手のシーエーシー（東京都中央区）は13日、同社が提供する寄附金Web申請クラウドサービス「Academic Support Navi」への不正アクセスに関する第2報を公表した。外部専門機関の調査で、第三者により管理者権限が不正に使用された事実を確認したという。サーバー内の解析および各種管理ログの精査の結果、個人情報や機密情報、申請データの外部流出を示す具体的な痕跡は確認されていないが、同社は「個人データの漏洩が生じたおそれがある事態」として個人情報保護委員会に報告した。

漏えい状況：未確認（おそれとして報告）｜影響範囲：個人｜ステータス：調査中

→ シーエーシー　寄附金申請サービスで管理者権限を不正使用　流出の痕跡なしも「おそれ」として報告（第2報）

一次ソース： 「Academic Support Navi」への不正アクセスに関する調査状況のご報告（第2報）（株式会社シーエーシー公式サイト）

偽サイト

ラブキャラ診断64を装う偽サイトに注意喚起

恋愛性格診断サービス「ラブキャラ診断64」を提供する株式会社ラブキャラは、同サービスを模倣した偽サイトの存在を確認し、ユーザーに対し注意を呼びかけた。偽サイトは知的財産権を侵害し、個人情報が漏洩する危険性があるとしている。

漏えい状況：リスクあり｜影響範囲：個人｜ステータス：注意喚起

→ 「ラブキャラ診断64」を装う偽サイトに注意喚起、情報漏洩のリスクも（第1報）

今週の注目トピック

サプライチェーン攻撃の拡大　外部ベンダーが標的に

今週最大のトピックは、スマレジのアプリマーケットを経由したサプライチェーン攻撃だ。攻撃者は、セキュリティ対策が堅牢なプラットフォーム本体ではなく、連携する外部アプリベンダーを標的とした。外部ベンダーが管理する会員データが不正に取得され、約13万6千件の個人情報が流出した。この攻撃により、サイクルヒーロー、釜浅商店など複数の利用店舗が被害を受けた。プラットフォーム事業者は、連携先の外部ベンダーのセキュリティ水準を定期的に監査し、脆弱性が放置されないよう管理する必要がある。外部連携が増えるほど、攻撃面が広がることを認識すべきだ。

大手プラットフォーム経由のフィッシング詐欺　信頼を悪用

山のホテルの事案では、Booking.comという大手予約プラットフォームが不正アクセスを受け、予約顧客にフィッシング詐欺メッセージが送信された。メッセージはWhatsAppを通じて配信され、予約確認を装って「24時間以内に手続き完了しないとキャンセル」という緊急性を演出する手口だった。大手プラットフォームを経由することで、顧客は正規のメッセージと誤認しやすい。プラットフォーム事業者は、顧客に対して公式な連絡手段を明確に周知し、不審なメッセージへの注意喚起を継続的に行う必要がある。

ペイメントアプリケーションの改ざん　決済システムの脆弱性

田中屋本店では、決済システムの脆弱性を突かれ、ペイメントアプリケーションが改ざんされた。この攻撃により、クレジットカード情報677件と個人情報5610件が流出した可能性がある。決済システムは特に機密性の高い情報を扱うため、脆弱性が悪用されると深刻な被害につながる。EC事業者は、決済システムの定期的な脆弱性診断、不正な改ざんを検知する仕組みの導入、PCI DSSなどの国際的なセキュリティ基準への準拠が求められる。

「流出の痕跡なし」でも「おそれ」として報告　慎重な対応

シーエーシーの事案では、管理者権限が不正に使用されたことは確認されたものの、個人情報の外部流出を示す具体的な痕跡は確認されていない。しかし同社は、「個人データの漏洩が生じたおそれがある事態」として個人情報保護委員会に報告した。この慎重な対応は、個人情報保護法の趣旨に沿ったものだ。管理者権限が不正使用された場合、実際の流出が確認されなくても、流出の可能性を否定できないためだ。企業は、痕跡の有無にかかわらず、権限の不正使用が確認された時点で適切に報告することが求められる。

今週の対策ポイント

第一に、外部連携サービス・アプリのセキュリティ審査を徹底すべきだ。プラットフォーム事業者は、連携を許可する外部ベンダーに対して、セキュリティ基準を設定し、定期的な監査を実施する必要がある。また、外部アプリが不正アクセスを受けた際の対応手順を事前に策定しておくことが重要だ。

第二に、大手プラットフォームからの通知であっても、リンクのクリックや個人情報の入力には慎重になるべきだ。正規の連絡手段を確認し、緊急を装うメッセージには特に注意する。企業は顧客に対して、公式な連絡手段と偽メッセージの見分け方を周知する必要がある。

第三に、決済システムの脆弱性診断を定期的に実施すべきだ。ペイメントアプリケーションの改ざんを防ぐため、システムの脆弱性を早期に発見し、修正する必要がある。PCI DSSなどの国際的なセキュリティ基準への準拠も重要だ。

第四に、管理者権限の使用状況を常時監視すべきだ。多要素認証（MFA）の必須化、権限の最小化、ログの定期的な監査により、不正な権限使用を早期に検知できる。特に、クラウドサービスの管理者アカウントは厳格に管理する必要がある。

第五に、「流出の痕跡がない」場合でも、権限の不正使用や不正アクセスが確認された場合は、個人情報保護委員会への報告を検討すべきだ。流出の可能性を完全に否定できない場合、「おそれがある事態」として報告することが、法令遵守と顧客への誠実な対応となる。

来週への注目点

スマレジ関連のサプライチェーン攻撃については、外部ベンダーの調査結果や、追加の被害店舗の公表が予想される。約13万6千件という大規模な流出であり、二次被害の発生状況も注視する必要がある。

Booking.comを経由した山のホテルのフィッシング詐欺事案についても、Booking.com側からの詳細な調査報告や、他の宿泊施設への影響が明らかになる可能性がある。

シーエーシーの管理者権限不正使用事案については、外部専門機関による詳細な調査結果の公表が待たれる。流出の痕跡がないとしているが、継続的な調査により新たな事実が判明する可能性もある。

サプライチェーン攻撃の増加傾向を踏まえ、他のプラットフォーム事業者やSaaS提供企業が、外部連携先のセキュリティ審査を強化する動きが出てくるかにも注目したい。

集計ルール（メソドロジー）

集計対象：2026年1月11日～1月18日にCCSIで掲載したセキュリティニュース記事

1件の定義：同一組織・同一事案は第1報/続報を「1件」に統合。スマレジ関連は、本体発表（1月8日第1報、1月13日続報）とサイクルヒーロー（1月9日）、釜浅商店（1月12日）の発表を同一事案として扱うが、それぞれ独立した被害公表として3件にカウント。

分類基準：攻撃種別が重複する場合は主因で分類。例えば、スマレジ関連はサプライチェーン攻撃に分類。山のホテルはBooking.com経由のフィッシング詐欺に分類。

不明点の扱い：流出範囲や件数が「調査中」のものは統計には含めるが、ステータスを「調査中」と明記。

業種分類：主要事業または被害を受けた部門で分類。スマレジはPOSプラットフォーム提供企業としてIT・ソフトウェアに分類。サイクルヒーロー、釜浅商店、田中屋本店は小売・ECに分類。

除外基準：Cloudflare（ISMAP登録）は製品・サービスの認証取得であり、セキュリティインシデントではないため統計から除外。