【セキュリティニュース】2026年4月30日号|2りんかんアプリで会員情報漏えいの可能性/CrowdStrike LogScaleに認証不要の任意ファイル読取脆弱性/Fortinetが計11件の脆弱性をまとめて修正

2026年4月30日 最終更新日時 : 2026年4月30日 secure

セキュリティニュース
2026年4月30日
編集部

【セキュリティニュース】2026年4月30日号|2りんかんアプリで会員情報漏えいの可能性/CrowdStrike LogScaleに認証不要の任意ファイル読取脆弱性/Fortinetが計11件の脆弱性をまとめて修正

ゴールデンウィーク連休中の中盤に差し掛かる本日、注視しておくべき動きが3件あります。第1にイエローハット子会社「2りんかんイエローハット」が4月20日夕刻に検知した不正アクセスについて、4月23日にアプリ会員情報の漏えいの可能性を公表しました。アプリパスワードが漏えい範囲に含まれている点が中小企業にも示唆的な事案です。第2にCrowdStrikeが自社運用型ログ管理製品「Falcon LogScale」に認証不要で任意ファイルを読み取れる脆弱性CVE-2026-40050(CVSS 9.8)を公表、自社ホストで運用している組織は連休中もパッチ適用を急ぐ必要があります。第3にFortinetが4月14日にFortiSandbox/FortiAnalyzerなどに計11件の脆弱性をまとめて修正、Critical 2件・High 2件を含み、境界機器・セキュリティ運用基盤の点検対象に加わります。

NEWS 01
株式会社イエローハット(東証プライム) | 2026年4月23日

イエローハット子会社「2りんかんイエローハット」が会員情報漏えいの可能性を公表——アプリパスワードまで漏えい対象、4月20日夕刻に不正アクセス検知

カー用品大手の株式会社イエローハットは2026年4月23日、連結子会社である株式会社2りんかんイエローハット(東京都中央区)の会員専用サーバが第三者からの不正アクセスを受け、二輪用品店「2りんかん」の会員情報が漏えいした可能性があると公表しました。同子会社は4月20日夕刻に外部からの不正アクセスを検知、ただちにネットワーク遮断と会員向けアプリ「2りんかんアプリ」の一部サービス停止などの緊急措置を講じています。

外部専門家の協力を得て調査を進めた結果、会員専用サーバ上の会員情報が漏えいした可能性があると確認されました。漏えいした可能性のある情報は、会員の氏名、住所、電話番号、生年月日、性別、メールアドレス、2りんかん会員番号、ポイント残高、アプリユーザーID、アプリパスワード、車両情報の11項目です。クレジットカード情報については別サーバで管理されており、漏えいの可能性はないとしています。

本事案で特に注目すべき点は、漏えい対象に「アプリパスワード」が含まれていることです。会員アプリのログイン情報そのものが流出した可能性があるため、同社は対象会員に対しアプリパスワードの再設定を呼びかけているほか、他サービスで同一パスワードを使い回している場合の変更を強く勧奨しています。漏えい件数や侵入経路、攻撃者の素性については現時点では公表されておらず、調査が継続中です。

2りんかんイエローハット 不正アクセス事案の経緯

日付 動き
2026年4月20日 夕刻 会員専用サーバへの不正アクセスを検知。ネットワーク遮断、アプリ一部サービス停止を実施
4月20〜23日 外部専門家を交えた調査を実施、会員情報漏えいの可能性を確認
4月23日 イエローハット本社/2りんかん公式サイトで個人情報漏えいの可能性を公表
4月23日以降 対象会員にメール等で個別連絡、アプリパスワード再設定を案内、警察・個人情報保護委員会へ報告
▌中小企業への影響

本事案は「アプリでログインさせて会員ポイントを管理する」というBtoC運営の中小企業すべてに通じます。漏えいの中で最もダメージが大きいのは、平文に近い形で保管されていたと考えられるアプリパスワードです。会員が他のECサイト・銀行・SNSと同じパスワードを使い回している場合、二次被害(リスト型攻撃による別サイト侵入)に拡大します。中小企業が自社開発/外注で会員アプリを運用している場合、パスワードがハッシュ化(bcrypt等)されているか、ソルト付きで保管されているか、平文で保管していないかを最低限確認しておく必要があります。

▌推奨対応
  • 自社運用の会員サイト・アプリのパスワード保管方式を確認する(平文保管・MD5・SHA-1単独は危険、bcrypt/Argon2で再ハッシュ化)
  • 会員データベースのアクセスログを直近30日分洗い出し、業務時間外・海外IPからの不審アクセスを点検する
  • 不正アクセスを検知した際の「ネットワーク遮断→経営層報告→外部専門家招聘→個人情報保護委員会への報告」の連絡フロー(72時間以内)を再確認する
  • 会員に対しパスワードの使い回しを避けるよう注意喚起する文面を、利用規約・ログイン画面に追加する
  • ECサイト・会員アプリでは、ログイン時のIPアドレス記録・複数回失敗時のロック・二段階認証を必須化する
  • 会員専用サーバとクレジットカード情報サーバを別物理/別セグメントで管理する設計を維持する(本事案ではこの分離が功を奏した)

NEWS 02
CrowdStrike | 2026年4月(CVE公表)

CrowdStrike Falcon LogScaleに認証不要で任意ファイルを読み取れる脆弱性CVE-2026-40050——CVSS 9.1、自社運用版は緊急パッチが必要

エンドポイントセキュリティ大手のCrowdStrikeは、ログ管理・SIEM製品「Falcon LogScale」のSelf-Hosted(自社ホスト)版にクリティカルな脆弱性が存在することを公表しました。CVE-2026-40050として採番された本脆弱性はCVSS v3.1で9.8(深刻度Critical)と評価されており、特定のクラスタAPIエンドポイントが外部に露出している場合、認証なしの遠隔攻撃者がサーバ上の任意ファイル(パス・トラバーサル)を読み取れる状態になります。

影響を受けるのは、LogScale Self-Hosted GA バージョン1.224.0〜1.234.0(両端を含む)と、Self-Hosted LTS バージョン1.228.0/1.228.1です。修正版は1.235.1、1.234.1、1.233.1、およびLTSの1.228.2以降となっており、対象組織は早急にパッチを適用する必要があります。Next-Gen SIEM製品は影響対象外、SaaS版のLogScale利用組織については、CrowdStrikeが2026年4月7日にネットワーク層での緊急ブロックを全クラスタに適用済みで、ユーザー側の追加対応は不要とされています。

CrowdStrikeは本脆弱性について、社内のログレビューを実施した結果として「実環境での悪用は確認していない」と説明しています。ただしCVSS 9.1という評価が示すとおり、認証不要でサーバ上の機密ファイル(設定ファイル、認証情報、API鍵など)を読み取られる可能性があり、ログ集約基盤に保管されている過去のセキュリティイベントデータが流出すれば二次的な攻撃材料を与える深刻なリスクです。

CrowdStrike LogScale CVE-2026-40050の主要情報

項目 内容
CVE番号 CVE-2026-40050
CVSS v3.1スコア 9.8(Critical)
脆弱性種別 パス・トラバーサル(Missing Authentication / Path Traversal)
影響 認証不要で遠隔から任意ファイル読み取り。機密性に重大な影響
影響を受けるバージョン LogScale Self-Hosted GA 1.224.0〜1.234.0/LTS 1.228.0、1.228.1
修正バージョン GA 1.235.1/1.234.1/1.233.1、LTS 1.228.2以降
影響対象外 Next-Gen SIEM製品/SaaS版(4月7日にCrowdStrike側がネットワーク遮断対応済み)
悪用 2026年4月時点では実環境での悪用未確認
▌中小企業への影響

「LogScale」という製品名は中小企業にとっては縁遠く感じられるかもしれませんが、SIEMやログ集約ツールとして自社運用している中堅企業は決して少なくありません。とくにEDR/XDR運用を内製化している組織、上場準備や監査対応のために独自にログ集約基盤を構珉している組織は要注意です。さらに本事案はセキュリティ製品それ自体に重大な脆弱性が見つかった事例であり、「セキュリティ製品を導入したから安心」は通用しないことを示しています。SaaS版を契約している場合は4月7日に対策済みのため追加対応は不要ですが、自社ホスト型を選んでいる場合は連休中であってもパッチ適用を最優先で進める必要があります。

▌推奨対応
  • 自社/関連会社/委託先がCrowdStrike Falcon LogScale Self-Hosted版を使用しているか棚卸する(SaaS版はベンダー側で対策済み)
  • 該当バージョン(GA 1.224.0〜1.234.0、LTS 1.228.0/1.228.1)を使用している場合、修正版(1.235.1/1.234.1/1.233.1/LTS 1.228.2以降)に直ちにアップデートする
  • LogScaleクラスタAPIエンドポイントがインターネットに公開されていないか確認し、不要な公開は遮断する
  • LogScaleが集約しているログのうち、設定ファイル・APIキー・認証情報がサーバのファイルシステム上に平文で残っていないか点検する
  • SIEM/ログ集約基盤を自社運用している場合、製品本体の脆弱性に備えて最新パッチ適用のSLA(適用までの時間目標)を文書化する
  • 連休中も保守ベンダー・運用委託先と連絡が取れる体制(緊急連絡先・代替担当者)を確認しておく

NEWS 03
Fortinet(PSIRT) | 2026年4月14日

Fortinetが計11件の脆弱性をまとめて修正——FortiSandbox/FortiAnalyzerにCriticalを含む、認証不要のOSコマンドインジェクションも

Fortinetは2026年4月14日、自社製品に関する11件の脆弱性をまとめて公表し、対応するパッチを提供しました。深刻度の内訳はCritical 2件、High 2件、Medium/Low 7件で、対象製品はFortiSandbox、FortiAnalyzer、FortiManager、FortiOS、FortiProxy、FortiPAM、FortiSwitchManager、FortiClientEMSと、Fortinetの主要セキュリティ製品ラインを横断する内容となっています。なかでもCriticalに分類されているCVE-2026-39808とCVE-2026-22828はいずれも認証不要で遠隔攻撃が可能で、特に注意が必要です。

CVE-2026-39808はFortiSandboxおよびFortiSandbox PaaSに存在するOSコマンドインジェクションの脆弱性で、認証なしのリモート攻撃者がAPI経由で任意のOSコマンドを実行できるとされています。サンドボックスは未知マルウェアの解析に使われる重要装置で、侵害された場合は組織が解析中の検体・解析結果・連携先のセキュリティ情報まで攻撃者の手に渡る可能性があります。CVE-2026-22828はFortiAnalyzer Cloud(バージョン7.6.2〜7.6.4)におけるヒープベースのバッファオーバーフロー脆弱性で、認証不要の遠隔攻撃者が特殊な細工をしたリクエストにより任意コードを実行できるとされています。

HighクラスにはFortiClientEMSのSQLインジェクション(CVE-2026-39809)、FortiSandbox JRPC APIのパス・トラバーサル(CVE-2026-39813)が含まれます。これらはいずれもセキュリティ運用の中核となる管理サーバ・解析装置に関わる脆弱性であり、未パッチのまま運用を続けると、攻撃者が「セキュリティ装置を踏み台にした内部偵察」を行える状態になります。Fortinet PSIRTは管理者に対し、対象製品の特定と速やかなパッチ適用を強く推奨しています。

主要な脆弱性と対象製品

CVE番号 深刻度 対象製品/脆弱性内容
CVE-2026-39808 Critical FortiSandbox/FortiSandbox PaaS — 認証不要のOSコマンドインジェクション
CVE-2026-22828 Critical FortiAnalyzer Cloud(7.6.2〜7.6.4) — 認証不要のヒープベースBOF
CVE-2026-39809 High FortiClientEMS — SQLインジェクション
CVE-2026-39813 High FortiSandbox JRPC API — パス・トラバーサル
CVE-2025-53847 Medium/Low CAPWAP関連 — FortiOS/FortiProxy等
その他6件 Medium/Low FortiManager/FortiPAM/FortiSwitchManagerほか

※詳細はFortinet PSIRTおよびJVNDB等を参照。CVE-2026-39808/22828はいずれも認証不要・リモートからの攻撃が可能。

▌中小企業への影響

FortiSandboxやFortiAnalyzer Cloudを単体で導入している中小企業は限定的ですが、FortiGate(UTM)の運用を支える周辺製品としてセットで導入されている場合があります。とくに製造業・医療機関では、保守ベンダーが「Fortinet一式」で導入・運用しているケースが多く、利用者側がどの製品が含まれているかを把握していない事案が散見されます。Fortinetの主要製品は境界防御・脅威分析の中核に位置するため、この11件のうちどれが自社環境に影響するか、保守ベンダーから書面で報告を受け取ることが連休前の最重要事項です。

▌推奨対応
  • 保守ベンダー・SIerに対し、自社環境におけるFortinet製品(FortiSandbox/FortiAnalyzer/FortiManager/FortiClientEMS等)の有無を一覧化させる
  • FortiSandbox/FortiSandbox PaaSを利用している場合、CVE-2026-39808のパッチ適用状況を最優先で確認する(認証不要で遠隔から侵害可能)
  • FortiAnalyzer Cloud 7.6.2〜7.6.4を利用している場合、修正版へのアップグレードを早急に実施する
  • FortiClientEMS(CVE-2026-35616=4月4日/CVE-2026-39809=4月14日の2件連続)を利用している場合、4月の累積パッチが適用されているか確認する
  • Fortinet PSIRT(fortiguard.fortinet.com)の月次アドバイザリ購読を契約担当者に設定させる
  • 境界・サンドボックス・SIEM等の「セキュリティ製品自身」のパッチ管理SLA(適用までの時間目標)を文書化し、責任者を明確化する

編集部まとめ

本日の3件は、いずれも「守る側のシステム」が侵害/脆弱性の対象になっている点で共通します。会員アプリのパスワードDB、ログ集約基盤、サンドボックス/アナライザ——どれも本来は「攻撃から身を守るための仕組み」であるはずが、設計・運用の隙を突かれれば最も大きな打撃を受ける急所になります。中小企業にとっての教訓は、セキュリティ製品の導入をもって対策完了とせず、製品自身のパッチ管理と運用権限の最小化を平時から運用に組み込むことです。

連休中も保守ベンダー・委託先と連絡が取れるか、緊急時の連絡フロー(インシデント検知→ネットワーク遮断→経営層報告→個人情報保護委員会報告)が機能するかを、各社の連休最終日までに改めて確認しておきましょう。次号は5月1日連休中ニュース号で、引き続き重要動向をお届けします。

参考情報

  • 株式会社イエローハット「当社連結子会社(株式会社2りんかんイエローハット)における個人情報漏えいの可能性に関するご報告」(2026年4月23日)
  • 2りんかんイエローハット「【重要】『2りんかんアプリ』をご利用のお客様へ:個人情報漏えいの可能性に関するお詫びとご報告」(2026年4月23日)
  • Security NEXT「『2りんかん』でサーバ侵害——顧客情報が流出した可能性」(2026年4月)
  • INTERNET Watch「イエローハットグループの二輪用品店『2りんかん』に不正アクセス、会員の個人情報漏えいの可能性」(2026年4月)
  • 日本経済新聞「イエローハット、子会社の顧客情報漏洩か 不正アクセス被害を発表」(2026年4月23日)
  • CrowdStrike セキュリティアドバイザリ CVE-2026-40050(Falcon LogScale Self-Hosted)
  • NVD CVE-2026-40050 詳細(CVSS v3.1: 9.1)
  • SecurityAffairs「Critical bug in CrowdStrike LogScale let Qualyreles lef Attackers access files」(2026年4月)

    • yle="font-size:.88rem; color:#444; margin-bottom:.3em; padding-left:1.2em;">The420.in「Unauthenticated File Access Flaw in CrowdStrike LogScale: CVE-2026-40050 Raises Alarm」(2026年4月)

  • Fortinet PSIRT 月次アドバイザリ(2026年4月14日)
  • iototsecnews「Fortinetの11件の脆弱性がFIX:FortiSandbox/FortiOS/FortiAnalyzer/FortiManagerに影響」(2026年4月14日)

カテゴリー
セキュリティニュース

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

前の記事
【セキュリティニュース】2026年4月17日号|Microsoft4月月例パッチで悪用済みゼロデイ2件・Adobe追加修正APSB26-44・ウエーブ17万件情報漏えいの恐れ
2026年4月29日
次の記事
【インシデント速報】CAMPFIRE 22.5万人漏えい・2りんかん不正アクセス・市立奈良病院がサイバー攻撃
2026年5月1日