2026年1月、株式会社スマレジは、同社のアプリマーケットで提供されていた外部アプリにおいて、第三者による不正アクセスによって個人情報が流出した可能性があることを公表しました。
スマレジ本体のシステムには被害がなかったものの、外部連携によるリスクが浮き彫りとなっています。
本記事では、公式発表をもとに、事案の概要や不正アクセスの内容、企業の対応について時系列で整理し、詳しく解説します。
出典:Yahoo!ニュース
目次
株式会社スマレジが外部アプリ連携に関わる個人情報流出の可能性を発表
株式会社スマレジは、2026年1月8日および1月13日に、同社が運営する「スマレジ・アプリマーケット」において提供されていた外部アプリに対する不正アクセスにより、個人情報が第三者により不正に取得・公開された可能性があると発表しました。
確認されたアプリは以下の通りです。
- 書類上手/見積・請求書
- +invoice
これらのアプリに保存されていたデータのうち、氏名136,346件、電話番号114,951件の個人情報が流出した可能性があるとされています。
2026年1月にスマレジは外部アプリのデータ流出事案を受ける
SNS上での指摘をきっかけに、スマレジはアプリマーケット上の外部アプリに関連する情報流出の可能性について調査を開始し、その結果を段階的に公表しました。
- 2026年1月8日(木)
外部アプリベンダーが保有する顧客情報が第三者により不正に取得・公開されたことを確認。スマレジ本体への不正アクセスは確認されていません。 - 2026年1月13日(火)・続報
対象アプリに保存されていたデータのうち、氏名136,346件、電話番号114,951件の流出可能性を発表。スマレジサービスとの通信は遮断済み。
不正アクセス発覚の経緯
2026年1月6日頃、SNS上に「スマレジがサイバー攻撃を受けた」「情報漏えいがあった」とする投稿が確認されました。これを受けて、株式会社スマレジは同日中に調査を開始しました。
調査の結果、スマレジ本体のシステムやサーバーに不正アクセスは確認されませんでしたが、「スマレジ・アプリマーケット」で提供されていた外部アプリに保存されていたデータが、第三者によって不正に取得・公開されていたことが判明しました。
以下は発覚までの主な流れです。
- 2026年1月6日(月):SNS上でスマレジに関する情報漏えいの指摘投稿が確認される。
- 2026年1月6日(火)〜7日(水):スマレジが内部調査を開始し、スマレジ本体への不正アクセス・情報流出は0件と確認される。
- 2026年1月8日(木):外部アプリに対する不正アクセスおよび個人情報の不正取得・公開の事実が判明し、第1報として公式に公表される。
このように、本件はSNSの投稿をきっかけとして社内調査が行われ、結果として不正アクセスの対象が外部ベンダーのアプリであったことが明らかとなりました。
企業の対応
株式会社スマレジは、今回の事案を深刻に受け止め、以下の対応を実施しています。
- 問題のアプリをマーケット上で非公開化
- アプリからスマレジサービスへの通信を遮断
- 外部アプリベンダーと連携した原因調査の実施
- アプリマーケット全体の審査・管理体制の見直し
- 関係者に対する注意喚起と情報提供
同社は、プラットフォーム提供企業としての責任を果たすため、再発防止策の徹底と安全性の強化を進める方針です。
不正アクセスを受けた場合はフォレンジック調査が有効
不正アクセスが発生した際は、被害範囲や侵入経路を正確に把握しなければ、適切な対応や再発防止策を講じることはできません。そのため、専門的な解析技術を用いるフォレンジック調査の実施が有効です。
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
被害発生時にフォレンジック調査が有効な理由は次の通りです。
- 侵入経路の特定:攻撃者がどこから侵入したかを明確にする
- 被害範囲の可視化:影響を受けたデータやシステムを把握する
- 証拠となるデータ保全:法的対応や保険請求に備えて証拠データを安全に保存する
- 再発防止策の策定:調査結果を基にセキュリティ体制を強化する
インシデントの内容によっては、個人情報保護委員会など特定の機関への報告義務が発生する場合があります。自社のみで調査を行うと、報告書が認められないケースもあるため、第三者機関による調査が一般的です。
弊社デジタルデータフォレンジック(DDF)では、情報漏えい調査(ダークウェブ調査)、ランサムウェア、サイバー攻撃や不正アクセスの原因特定、被害範囲調査などを実施しています。官公庁、上場企業、捜査機関など、多様な組織のインシデント対応実績があり、相談や見積もりは無料、24時間365日体制でご依頼を受け付けています。
早期対応が被害拡大防止の鍵となりますので、まずはご相談ください。
当社は累計約3.9万件ものサイバーインシデント対応実績があり、情報漏えいを引き起こさないための対策方法など豊富な知見を有しています。当社のサイバーセキュリティ専門家が、事前の予防から万が一の対応まで徹底サポートいたします。
24時間365日で無料相談を受け付けておりますので、お気軽にご相談ください。
✔どこに依頼するか迷ったら、相談実績が累計39,451件以上(※1)のデジタルデータフォレンジック(DDF)がおすすめ
✔データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
✔相談からお見積まで完全無料
※1 累計ご相談件数39,451件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
まとめ
本件は、スマレジのアプリマーケットに出品されていた外部ベンダー提供のアプリが第三者からの不正アクセスを受け、個人情報が流出した可能性がある事案です。
スマレジ本体への侵害はなかったものの、プラットフォーム事業者としての管理責任や連携先のリスク管理の重要性が改めて問われる結果となりました。同社は調査と対応を継続しており、アプリマーケット全体の安全性向上に向けた体制強化が求められます。
関連記事
この記事を書いた人
デジタルデータフォレンジック
エンジニア
