２りんかんイエローハットに不正アクセス、会員情報漏えいの可能性　アプリパスワードも対象

カー用品大手イエローハットは23日、連結子会社の株式会社２りんかんイエローハットが管理する会員情報サーバーに第三者から不正アクセスを受け、二輪用品専門店「２りんかん」の会員情報が漏えいした可能性があると発表した。20日夕刻に不正アクセスを検知し、ネットワークを遮断。外部専門家による調査の結果、漏えいの可能性が確認されたという。

当社連結子会社（株式会社２りんかんイエローハット）における個人情報漏えいの可能性に関するご報告｜イエローハットより引用

3行で分かる概要

見出し

1 3行で分かる概要
2 わかっていること／わかっていないこと
- 2.1 わかっていること
- 2.2 わかっていないこと
3 検知から3日で公表、専門家調査で漏えい判明
4 店舗利用への影響は否定、窓口は準備中
5 背景　二輪用品大手の会員情報が標的に
6 タイムライン

何が起きた：２りんかんイエローハットのサーバーが不正アクセスを受け、会員情報が外部に流出した可能性が判明した。

影響：氏名や住所、メールアドレス、アプリパスワード、車両情報など幅広い会員情報が対象。ただし件数は未公表。

対応：ネットワーク遮断や外部専門家による調査を実施。相談窓口は準備中で、開設次第公式サイトで告知する。

わかっていること／わかっていないこと

わかっていること

不正アクセスの検知日は2026年4月20日夕刻。対象は２りんかん会員情報を保管するサーバーで、氏名、住所、電話番号、生年月日、性別、メールアドレス、会員番号、ポイント残高、アプリユーザーID、アプリパスワード、車両情報などが漏えいした可能性がある。同サーバーにクレジットカード情報は保管されておらず、漏えいの可能性はないとしている。イエローハット店舗など他ブランドの顧客情報管理サーバーとは独立しており、同店舗利用者への影響はないという。

わかっていないこと

漏えいした可能性のある会員の件数は公表されていない。侵入経路や攻撃手口、具体的な流出の有無については現時点で開示されていない。アプリパスワードが平文で保管されていたのか、暗号化やハッシュ化が施されていたのかも明らかになっていない。不正アクセスの主体や動機、情報の悪用の有無も判明していない。

検知から3日で公表、専門家調査で漏えい判明

発表によると、２りんかんイエローハットが管理するサーバーへの不正アクセスを2026年4月20日月曜日の夕刻に検知。同社はネットワークを直ちに遮断するなどの緊急措置を講じた。外部専門家による調査を進めたところ、会員情報の漏えいが発生した可能性があると確認されたという。

漏えいした可能性のある情報には、本人確認に使われる基本的な個人情報に加え、アプリで利用するユーザーIDやパスワードも含まれている。イエローハットは「アプリパスワード」の保管形式について説明していないが、同じパスワードを他サービスで使い回している利用者は、パスワード使い回しによる被害拡大（いわゆるリスト型攻撃）に巻き込まれる恐れがある。

店舗利用への影響は否定、窓口は準備中

同グループは、今回の不正アクセスで標的となったシステムが他の顧客情報管理サーバーから独立していると説明。カー用品を扱うイエローハット店舗の利用者情報への影響は「ない」としている。クレジットカード情報についても、当該サーバーには保管されていないため漏えいの可能性はないと確認済みだとしている。

本件に関する専用の「お客様相談窓口」は現在設置を急いでおり、開設日時や連絡先などは準備が整い次第、公式サイトで案内するという。

背景　二輪用品大手の会員情報が標的に

株式会社２りんかんイエローハットは、イエローハットグループ傘下で二輪用品専門店「２りんかん」を展開する。会員アプリを通じたポイント運用や車両情報管理など、顧客との接点を会員制サービスで広げてきた。今回、その会員データベースが攻撃対象となった形だ。

個人情報保護法では、個人データの漏えいが発生し個人の権利利益を害する恐れがあると認められる場合、事業者は個人情報保護委員会への報告と本人への通知を求められる。同社は発表の中で、グループ全体でセキュリティ体制の抜本的な見直しと再発防止に取り組むとしている。

タイムライン

2026年4月20日（月）夕刻　不正アクセスを検知、ネットワーク遮断などの緊急措置を実施

2026年4月20日以降　外部専門家による調査を開始

2026年4月23日（木）　調査により会員情報漏えいの可能性を確認、公式サイトで第一報を公表

今後　お客様相談窓口を開設予定、開設日時は公式サイトで告知