本記事はアフィリエイト広告を含みます。
Nike・穴吹で50万人流出。
あなたのメアドは大丈夫?
2分で確認+次の一手【2026年版】
2026年5月29日公開 | デジタルツール比較ナビ編集部
🚨 大型漏洩・緊急レポート・2026年版
「自分は登録していないから関係ない」
その思い込みが、不正ログインの入口になります。
2026年に入って、日本人に直接影響する大型情報漏洩が立て続けに発生しています。
Nike日本公式・穴吹ハウジング・スマレジ——いずれも、あなたや家族が一度でも利用したことのあるサービスかもしれません。
📊 2026年・公表済みの主要漏洩
Nike(日本含む顧客情報・2026年公表)/穴吹ハウジングサービス 49.6万件/スマレジ 11万件超。
あなたのメアドが「すでに流出済みリスト」に載っているかは、2分で確認できます。
この記事では、2026年の最新漏洩事案を整理し、Have I Been Pwnedで2分チェック→次の一手3ステップまでを、初心者向けにまとめています。
🛡️ この記事でわかること
- 2026年に発生したNike・穴吹・スマレジ大型漏洩のリアルな規模感
- Have I Been Pwnedで自分のメアドの流出履歴を2分で確認する手順
- 「漏れていた」場合の次の一手3ステップ(パスワード変更/管理ツール/VPN)
- 日常で漏洩を予防する5つの習慣
- ファクトチェック・出典(公表値の整合性)
📌 30秒でわかる事件の概要
この3件は別々の事件です。同じ攻撃グループの連続犯行ではなく、2026年に立て続けに公表された独立した3つの大型漏洩。共通するのは「日本人が日常的に使うサービスで起きた」という点です。
- ① Nike(日本含む):委託先経由の流出として、氏名・メアド・電話番号が対象と通知。
- ② 穴吹ハウジングサービス 約49.6万件:ランサムウェア被害で、氏名・電話番号などが流出(カード・口座は含まず)。
- ③ スマレジ 11万件超:外部連携アプリ提供元の設定不備で、氏名・電話番号が漏えい。
- 共通リスク:パスワードを使い回していると、1社の漏洩が他サービスの不正ログインに連鎖する。
つまり「自分が登録したか」より、「使い回しがあるか」のほうが重要。次の結論へ進みましょう。
個人ができる対策
2分の確認+3ステップで、ほぼ全ての心配は終わります。
やることは、シンプルにこの3つだけです。
- Have I Been Pwned で自分のメアドを入れて2分チェック(漏れているか確認)
- 漏れていたら該当パスワードを即変更(使い回し分もまとめて)
- 再発防止に1Password+NordVPNを入れる(仕組みで守る)
これだけで、Nike・穴吹クラスの漏洩が来ても被害は最小化できます。まずは次で、その3件が実際どれくらいの規模だったのかを見ておきましょう。
2026年大型漏洩まとめ(Nike・穴吹・スマレジ)
「実際にどれくらい漏れたのか」を冷静に把握しておきましょう。数字の規模感を知ると、自分ごととしての見え方が変わります。
ニュースで件数だけ見ても「で、自分に関係あるの?」とピンと来ないものです。ここでは3件それぞれ、「あなたにどう関係するか」を先に、続けて数字と“その後”を見ていきます。
① Nike(日本含む)顧客情報漏洩
あなたへの影響氏名・メアド・電話番号・購入履歴が、攻撃者の手に渡った可能性。つまり、「Nike」を名乗る精巧な偽メール・偽SMSが届く“宛先リスト”に、あなたが載っているかもしれません。流出は委託先(外部の協力会社)経由とされ、「Nikeで買い物しただけ」の人も対象です。
最大1.4TB約19万ファイルを盗んだと攻撃側が主張
委託先経由自分で登録した覚えがなくても巻き込まれる
2月末に通知日本のユーザーへ個別に連絡が届いた
データを盗んだのは「World Leaks」(旧ハンターズ・インターナショナル)という、盗んだデータを人質にお金を要求する“身代金型”のハッカー集団です。彼らは「Nikeから約1.4TB(スマホの写真なら数十万枚分という膨大な量)・約19万ファイルを盗んだ」と自分たちの公開サイトで宣言し、事件が表に出ました。Nikeは、業務を任せていた外部の協力会社(委託先)経由で漏れた可能性があるとして、2月末に日本のユーザーへ個別に連絡。漏れたとみられるのは氏名・メールアドレス・電話番号・買い物の履歴などで、SNKRSやNIKEメンバーの利用者はとくに確認しておきたいところです。
▶ その後・いま:盗まれたデータは一度ハッカー側のサイトに掲載され、その後いったん削除されました。裏で交渉や調査が続いているとみられ、まだ油断はできません。盗まれたメアド宛にNikeを装った“本物そっくりの偽メール”が届く危険は今も継続中。会社はパスワード変更と、不審なメール・SMSへの注意を呼びかけています。流出した範囲の全容はまだ調査中で、「通知が届いた=今すぐ動くサイン」と考えて早めに手を打つのが安全です。
② 穴吹ハウジングサービス 約49.6万件
あなたへの影響マンション・賃貸の契約者や問い合わせをした人の氏名・電話番号が流出した可能性。すでに闇サイト(ダークウェブ)に出回ったことが確認されており、「管理会社を装った電話・架空請求」の標的になりやすい状態です。心当たりのある方は要注意。
約49.6万人氏名・電話番号などが漏えいの可能性
約21万ファイルサーバーから外部へ流出した量
カード等は対象外口座・マイナンバーは含まないと公表
マンション管理大手の穴吹ハウジングサービスが、「Qilin(キリン)」という身代金型のハッカー集団の攻撃を受けました。グループ会社の通信機器をきっかけに社内ネットワークへ侵入され、ファイルサーバから約49.6万人分の氏名・電話番号など(約21万ファイル)が外部へ流れた可能性があります。なお、クレジットカード・銀行口座・マイナンバーは含まれないと公表されています。
▶ その後・いま:問題はここからで、盗まれたデータが“闇サイト”(ダークウェブ=ふつうの検索では出てこない、犯罪者が情報を売り買いする裏の市場)に掲載されたことが確認されています。氏名と電話番号がセットで出回るため、「管理会社を装った電話」や「身に覚えのない請求」に悪用される心配が現実になりました。会社は調査結果を第1報〜第4報と順次公表し、専門機関と連携した原因究明や問い合わせ窓口の設置を進めています。当面は心当たりのない連絡には応じない——これが一番の自衛策です。
③ スマレジ 11万件超
あなたへの影響ここが一番の盲点。「スマレジなんて知らない」人でも対象になり得ます。街の小売店・飲食店でレジ会計をしただけで、その店が使うシステム経由であなたの氏名・電話番号が流出していた、というケースだからです。
氏名11万359件電話番号は10万293件が対象
本体は無事穴は外部の連携アプリ側だった
利用店経由買い物・飲食で巻き込まれることも
クラウド型のレジシステム「スマレジ」で、あとから連携していた外部アプリ「書類上手」の提供元(合同会社coastline)の設定ミスにより、氏名11万359件・電話番号10万293件が漏れた可能性があります。ポイントは、スマレジ本体が攻撃されたわけではないこと。穴が空いたのは“あとからつないだ外部アプリ”の側でした。
▶ その後・いま:こわいのは、影響が連携していた複数の店舗・サービスにまで広がっている点です。つまり「スマレジなんて聞いたこともない」人でも、買い物や食事でその店のレジを通っただけで巻き込まれている可能性があります。会社は1月の続報を経て3月9日に最終報告を公表し、二次被害への注意を呼びかけています。本体は無事でも“つないだ先”が穴になる——これは誰の身にも起こりうる、今どきの漏洩の典型例です。
※ 件数・対象は各社プレスリリースおよび公開報道時点の値です。詳細は本記事末尾のファクトチェック・出典をご確認ください。
3件に共通するのは、「自分が直接登録したかどうか」ではリスクを測れないという事実です。委託先・連携アプリ・使い回したパスワード——どこか1か所が抜ければ、被害はあなたのアカウントへ連鎖します。
だからこそ、企業の対応を待つのではなく、自分の手で防御層を一枚かけるのがいちばん速い。まずは下のセルフチェックで「自分ごと度」を確かめてから、具体的な手順へ進みましょう。
あなたは当てはまる? 30秒セルフチェック
下のチェックリストに1つでも✓が付いたら、この記事の手順を進める価値があります。気軽にタップして確かめてください。
🛡️
漏洩リスク・セルフチェック当てはまる項目をタップ(✓が付きます)
✓が付いたなら、「次の漏洩」はもう来る前提で守れます。
上のチェックの大半は、パスワードの使い回しが根っこにあります。ここを断ち切るだけで、Nike・穴吹クラスの漏洩が来ても“被害の連鎖”が止まります。その役目を一手に引き受けてくれるのが 1Password です。
- サービスごとに40桁の別パスワードを自動生成。1社が漏れても、他へ被害が連鎖しない。
- ログイン情報を自動入力。偽サイト(フィッシング)には入力されないので、詐欺の入口も塞げる。
- Watchtower機能が、あなたのパスワードが漏洩リストに載った瞬間に警告してくれる。
▶ 1Password完全ガイドを読む(価格・使い方・家族共有)
※ まずは記事で仕組みと料金をやさしく確認できます。いきなり申し込む必要はありません。
専門用語ミニ辞典
記事に入る前に、最低限知っておくと記事が一気にわかる5語をまとめました。スキップしてもOK、必要な時に戻ってきてください。
ランサムウェア
企業のサーバーを暗号化して「身代金」を要求するサイバー攻撃。2026年も国内で複数の大型被害が報告されています。
Have I Been Pwned
世界の漏洩データを集約した無料チェックサイト。メアドを入力するだけで、過去の流出履歴がわかります。
ダークウェブ
通常の検索エンジンに出てこない匿名ネットワーク。盗まれたID・パスワードが売買される闇市場が存在します。
2FA(2段階認証)
パスワードに加えて、スマホ等の「もう1段」を要求する仕組み。パスワードが漏れても不正ログインを防げます。
サプライチェーン攻撃
ターゲット企業ではなく、その取引先や下請けを経由して侵入する手口。2026年の漏洩でも複数事例が確認されています。
リスト型攻撃
流出済みのID・パスワードを別のサービスで試す自動攻撃。使い回しがあると一気に被害が広がります。
Have I Been Pwnedで2分チェック手順
Have I Been Pwned(HIBP)は、世界中の漏えいデータベースを集約した、最も信頼性の高い無料サイトです。運営は、Microsoft MVPでもあるセキュリティ研究者の Troy Hunt氏。Mozilla・1Passwordとも公式連携しています。パスワードを入力する必要はなく、メアドだけで確認できます。
1
公式サイト「haveibeenpwned.com」を開く
ブラウザで
haveibeenpwned.com へアクセス。
URLが「haveibeenpwned.com」であることを必ず確認してください。よく似た偽サイトでメアド収集を狙うフィッシングが存在します。
💡 ワンポイント:ブックマークしておくと、半年に1度の点検が習慣にしやすくなります。
2
普段使うメアドを入力して「pwned?」をクリック
画面中央のボックスに、自分のメインのメアドを入力。仕事用・プライベート・古いYahoo/Gmailなど、複数持っている方は1つずつ順番にチェックしてください。家族のメアドも、本人の許可を取って一緒に見ておくと安心です。
3
結果を読み解く(緑=安心/赤=要対応)
🟢「Good news — no pwnage found!」:現時点で漏洩リストにはヒットなし。
🔴「Oh no — pwned!」:1件以上の漏洩でヒット。下にスクロールすると、どのサービスで・いつ・どんな情報が漏れたかが時系列で表示されます。
💡 ヒット件数の目安:1〜3件は標準、5件以上は使い回し点検、10件以上ならパスワード管理ツール導入の合図。
4
「Notify me」で将来の漏洩通知を登録
サイト上部の「Notify me」から、メアドを登録すると、将来そのメアドが新たな漏洩に含まれた瞬間に通知メールが届きます。完全無料・30秒で完了します。一度登録しておけば、あとは自動で見張ってくれます。
⚡ 毎回メアドを入力するのが面倒な人へ
上のHave I Been Pwnedは「今すぐ・無料・1回」の確認に最適です。ただし分かるのは調べたその瞬間まで。新しい漏洩が出れば、また自分で見に行く必要があります。
そこをまるごとラクにするのが、パスワード管理アプリ 1Password の 「Watchtower(ウォッチタワー)」機能。じつはこのHave I Been Pwnedと公式に連携していて、1Passwordに保存したアカウントを自動でまとめて照合。漏れていたら見つけた瞬間に教えてくれます。メアドを1つずつ手入力する手間も、チェックを忘れる心配もありません。
- ✅ 保存した全アカウントを一括で自動チェック(1件ずつ入力しなくていい)
- ✅ 新しい漏洩が出たらその場で警告。手動の見回りが不要に
- ✅ 漏れていたパスワードは、その場で強いものに作り直しまで完結
▶ 1PasswordのWatchtowerを見る(公式サイト)
※ 編集部のおすすめは「まず無料のHIBPで現状を確認 → これから自動で見張りたい人は1Passwordへ」の順。いきなり有料ツールを入れる必要はありません。当リンクは広告(アフィリエイト)を含みます。
「漏れていた」場合の次の一手3ステップ
1件でも赤い「Oh no — pwned!」が出たら、今日中に下の3ステップを進めてください。所要は合計30〜60分。1度やれば、あとは仕組みが守ってくれます。
STEP 1 / 最優先
該当サービスのパスワードを「即」変更
使い回している他サービスも芋づる式に変更
HIBPに表示された漏洩サービス(例:Nike・LinkedIn・Adobeなど)にログインし、パスワードを変更します。新パスワードは16文字以上、英数記号混合で、他サービスと絶対に被らないものに。同じパスワードを使い回しているサービスがあれば、全て同時に変更してください。1Passwordを併用するとここが一気にラクになります。
⏱ 所要 15〜30分
💰 完全無料
🔒 最重要
STEP 3 / 日常防御
NordVPNで公衆Wi-Fiの盗聴リスクを遮断
カフェ・ホテルでログイン情報を抜かれない
どれだけ強いパスワードを使っても、公衆Wi-Fiで通信を盗聴されればログイン情報ごと抜かれます。VPNを入れておけば、カフェ・ホテル・空港のWi-Fi上の通信がすべて暗号化され、覗き見不可能に。
NordVPNは世界111カ国・7,400サーバー以上で利用可能、実測でも速度劣化はほぼ感じません。詳しくは VPN完全ガイド、リスクの全体像は 公衆Wi-Fiのリスク へ。
▶ NordVPN公式サイトを見る
💰 月約500円〜
🌐 111カ国対応
🔐 軍事レベル暗号
漏洩を予防する5つの日常習慣
3ステップが終わったら、あとは日常の習慣で守りを固めるだけです。コスト最小で続けられる5つを紹介します。
1
🔐主要アカウントは必ず2段階認証をオン一度設定すれば完了
Google・Apple ID・Amazon・SNS・ネットバンクの5つだけでも、まずは2FAを。SMS認証より認証アプリ(Google Authenticator・1Password内蔵)の方が安全です。
2
📅半年に1度、メアドを再チェック半年ごと
カレンダーに半年ごとのリマインダーを。Have I Been Pwned の「Notify me」と併用すれば、新しい漏洩もほぼ取りこぼしません。
3
📶公衆Wi-Fiでは必ずVPNをオンにWi-Fi利用時
カフェ・ホテル・新幹線・空港。「ちょっと開くだけ」の油断が漏洩の入口になります。月500円ほどの保険で、日常の心配ごとが1つ消えます。
4
✉️怪しいSMS・メールはリンクを踏まず削除届くたび
「未払い」「配送停止」「アカウント停止」を装う詐欺が急増中。リンクは踏まず、公式アプリ・公式サイトを自分で開いて確認するクセを。
5
💳クレカ明細を月に1度は目視チェック月1回
少額のテスト課金で様子を見てから高額決済を仕掛ける手口が定番。少額でも見覚えがなければ、すぐカード会社に連絡を。
ファクトチェック・出典
✔ 編集部による事実確認
本記事で取り上げた3件は、それぞれ独立した別々の漏洩事件です。同じ攻撃グループによる連続犯行ではありません。各事件の規模と出典を、下記のとおり分けて整理しました。
| 事件 | 公表された規模 | 出典 |
|---|
| Nike(日本含む) |
顧客情報の流出が報告(実数は調査中) |
ロケットボーイズ サイバー攻撃事例2026 |
| 穴吹ハウジングサービス |
約49.6万件 |
フセラボ 個人情報漏洩事件まとめ |
| スマレジ |
11万件超 |
フセラボ 個人情報漏洩事件まとめ |
※ 実数値は各社の追加調査により更新される場合があります。最新情報は各社の公式発表をご確認ください。
Q
Have I Been Pwned は「メアド入力のみ・パスワード入力は不要」
「自分の情報を入れて大丈夫?」とよく聞かれますが、パスワード本文の入力は不要です。メールアドレスだけで判定でき、入力データはサーバーに保存されません(運営者公表)。安心して使えます。
Q
「ヒットなし」でも油断は禁物
収録されていないだけで、すでに闇市場に出回っているケースもあります。使い回しゼロ+2段階認証オン+VPN+半年ごとの再チェックを組み合わせるのが、おすすめの最終形です。
出典:フセラボ 個人情報漏洩事件まとめ / ロケットボーイズ サイバー攻撃事例 / Have I Been Pwned / IPA 情報セキュリティ10大脅威2026
よくある質問
Have I Been Pwnedにメアドを入力するのは安全ですか?
はい、安全です。運営者のTroy Hunt氏はMicrosoft MVP認定のセキュリティ専門家で、入力したメアドはサーバーに保存されません。Mozilla・1Password・各国政府機関と公式連携しており、信頼性は最高水準です。パスワード本文を入力する必要はありません。
Nike・穴吹・スマレジに登録した覚えがありません。それでも影響ある?
直接の登録がなくても、同じパスワードを使い回している他サービスが過去に漏れていれば、リスト型攻撃で被害が広がる可能性があります。Nike・穴吹に登録していなくても、HIBPで一度確認しておくのが安全です。
漏れていた場合、最初に何をすべきですか?
①該当サービスのパスワードを
即変更、②使い回している他サービスも全て変更、③主要アカウントの
2段階認証を有効化、の3ステップです。
1Passwordなどのパスワード管理ツールを併用すると、変更作業が一気に効率化します。
VPNはパスワード漏洩防止に効果がありますか?
カフェ・ホテルの公衆Wi-Fi利用時に、
通信を暗号化して盗聴を防ぐ効果があります。パスワード自体の漏洩を防ぐものではありませんが、ログイン情報を抜かれるリスクを減らす
日常の防御層として有効です。詳しくは
VPN完全ガイドへ。
漏れていなかったら、何もしなくていい?
現時点で漏れていなくても、将来漏れる可能性は十分あります。HIBPの「Notify me」で将来通知を登録し、パスワード使い回しがあれば今のうちに個別化しておきましょう。半年に1度の再チェックも習慣化を。
家族のメアドもまとめてチェックしたい
本人の許可を取った上で、HIBPは
1件ずつ順番にチェックします。家族でアカウント共有が多い場合は、
1Passwordファミリープランで家族全員のパスワードを安全に管理するのが現実的です。
悩み別・解決法ペアまとめ
「自分はどのタイプ?」という悩みをタップすると、編集部おすすめの動き方が開きます。
悩み「Nike・穴吹の報道を見て不安。でも何から手を付けるか分からない」+
解決法まず
HIBPで2分チェックするのが最短です。赤い「Oh no — pwned!」が出たら、その該当サービスのパスワードを即変更。あとは
1Passwordを入れておけば、次に何かあっても自動で気づける状態になります。
悩み「同じパスワードを大量に使い回している。今さら変える気力がない」+
解決法一度に全部やる必要はありません。
「お金まわり→メインの連絡先→SNS→その他」の順で、1週間かけて少しずつでOK。
1Passwordの自動生成・自動入力に任せれば、考える手間も覚える手間もなくなります。
悩み「カフェや出張先のWi-Fiでつい仕事メールを開いてしまう」+
解決法NordVPNを常時オンにしておけば、公衆Wi-Fi上の通信がすべて暗号化され、
のぞき見されても中身は読めません。月500円ほどの“保険”で、外でメールを開く不安がひとつ消えます。
悩み「家族のメアド・パスワードもバラバラで管理しきれない」+
解決法1Passwordファミリープラン(最大5人・月約700円)なら、家族全員のパスワードを一つの仕組みでまとめて管理できます。
もしものときの引き継ぎもできるので、家族のアカウントを守りたい人に向いています。
★ 最終おすすめ
「自分は大丈夫」を、
「自分はもう守られている」に変える。
2026年は、Nike・穴吹・スマレジに続き、大型漏洩が常態化する1年です。
事後に慌てる前に、1Password 1本で日常の不安を消しておくのが、いちばん確実です。
▶ 1Password公式サイトを見る
公衆Wi-Fi対策の NordVPN と組み合わせると、防御は2倍になります。
📚 あわせて読みたい関連記事
※ 数値・公的データは2026年6月時点で編集部が整理したものです。最新情報は各社公式発表をご確認ください。
※ 本記事はアフィリエイト広告を含みますが、紹介する全サービスは編集部が実利用または十分な公開情報に基づき選定しています。
