2026年5月22日、ダークウェブ動向を追跡するアカウントDark Web Informerが、アンダーグラウンドフォーラム上で日本のコンビニエンスストアチェーンFamilyMartを標的としたとされるデータ漏洩主張を観測した。当該アカウントによる報告は2026年5月23日にX上で公開された。
脅威アクターを名乗るtbabi(アンカ・レッド・チーム)が、FamilyMartに帰属するとされる21,581,576件のレコードを漏洩させたと主張している。データセットに含まれるとされる内容は、企業の計画記録、支払い関連データ、契約書関連記録、従業員情報、取引関連記録、広告主・代理店関連記録、活動・スケジュール表、CSV形式のデータベースファイルである。業種は小売・コンビニエンスストア、対象国は日本とされる。販売価格の提示はない。
なお、本件はアクター側による主張であり、FamilyMart側からの確認情報は本投稿時点では示されていない。
From: 
FamilyMart allegedly targeted in 21.5M record database leak – Dark Web Informer
【編集部解説】
今回の情報は、サイバー脅威インテリジェンスを発信するアカウントDark Web Informerが、アンダーグラウンドフォーラム上で観測した「ファミリーマートを標的としたとされるデータ漏洩主張」を報じたものです。重要な前提として、現時点で確認できているのは「脅威アクター側からの一方的な主張」であり、ファミリーマート社からの公式声明や事実関係の確認は本記事執筆時点では確認されていません。
まず注目すべきは、漏洩を主張されているレコード数2,158万1,576件という規模感です。ファミリーマートは日本国内で16,421店舗(2026年4月30日時点)を展開する日本第二位のコンビニエンスストアチェーンであり、伊藤忠商事の完全子会社です。仮にこの主張が事実であった場合、日本の小売セクターにおける近年最大級のデータ漏洩事案となる可能性を秘めています。
注目したいのは、漏洩を主張されているデータの「中身」です。一般的なBtoC型の情報漏洩では顧客の氏名や連絡先、決済情報が中心となりますが、今回主張されている内容は「企業の計画記録」「契約書類」「広告主・代理店関連記録」「活動・スケジュール表」など、むしろBtoB(企業間取引)寄りの業務データが含まれている点が特徴的です。これは消費者向けデータベースではなく、本社業務系システムや基幹業務領域への侵入が疑われることを示唆します。
脅威アクター「tbabi(所属または別名:アンカ・レッド・チーム)」については、現時点では国際的な脅威インテリジェンス界隈での過去実績や攻撃手法に関する確立された情報は限定的です。アンダーグラウンドフォーラムでは2026年に入り、ShinyHuntersやLAPSUS-GROUP、Crimson Collectiveなど、第三者ベンダーやSaaS環境を踏み台にした大規模漏洩事案が相次いでおり、今回もその文脈の中で位置づけて慎重に注視する必要があります。
実は、ファミリーマートにとってデータ漏洩は初めての経験ではありません。2003年には会員制サービス「ファミマ・クラブ」会員約140万人のうち約18万人分の個人情報が流出し、架空請求被害が発生した過去があります。2023年にもフランチャイズ運営会社の関係者によるノートパソコン盗難で、アルバイト従業員の個人情報漏えいのおそれが発生する事案がありました(なお運営会社の発表では、第三者への流出・不正使用は確認されていないとされています)。一方で、2026年5月からはなりすましメール対策技術「BIMI」を導入するなど、対策強化も進めている矢先での疑惑浮上です。
このタイミングで本記事をお届けする理由は、「主張段階」の情報こそ最も冷静な判断が求められるためです。ダークウェブにおける「漏洩主張」はすべてが本物ではなく、過去にも誇張や偽装、再利用データを「新規漏洩」として再販売する手口が確認されています。一方で「主張がフェイク」と決めつけて警戒を怠ると、本物だった場合の被害拡大を許してしまいます。「事実確認の継続」と「最悪のシナリオを想定した予防」を両立させることが、現代のサイバーリスク対応の基本動作と言えるでしょう。
規制面では、改正個人情報保護法のもとで、個人情報取扱事業者は個人の権利利益を害するおそれがある個人データ漏えい等が発生した場合、個人情報保護委員会への報告と本人通知が義務付けられています。仮に本件が事実と確認された場合、ファミリーマート社には迅速な情報開示と対応説明が求められることになります。
長期的な視点でみると、コンビニエンスストアという業態は決済プラットフォーム、ポイント経済圏、行政サービス連携(住民票発行など)、デジタル広告ネットワークと、いまや「生活インフラそのもの」へと進化しつつあります。だからこそ、その背後にあるデータ基盤の堅牢性は、単なる企業の問題ではなく社会全体の信頼基盤として捉え直す時期に来ています。今回の主張が真偽どちらの結論に至るとしても、私たち利用者・取引先・関係者一人ひとりが「自分のデータがどこにあり、誰に管理されているか」を意識する契機としたい事案です。
【用語解説】
サイバー脅威インテリジェンス
サイバー攻撃の兆候や脅威アクターの活動、漏洩データの流通状況などを収集・分析し、防御側に提供する情報活動の総称である。ダークウェブやアンダーグラウンドフォーラムの監視も含まれる。
アンダーグラウンドフォーラム
ダークウェブやクリアウェブ上に存在する、サイバー犯罪者が集まる非公開・半非公開の掲示板コミュニティを指す。盗難データの売買、攻撃ツールの取引、脆弱性情報の交換などが行われている。
脅威アクター(Threat Actor)
サイバー空間において悪意ある行為を行う個人・組織・国家を総称する用語である。経済的動機の犯罪集団、国家支援型グループ、ハクティビストなど多様な類型が存在する。
データベース漏洩(Database Leak)
組織の内部データベースから抽出された情報が、第三者によってアンダーグラウンドフォーラムや漏洩サイト上で公開・販売される事象を指す。ランサムウェア攻撃の二次圧力として実施されるケースも多い。
tbabi / アンカ・レッド・チーム(Anka Red Team)
今回のファミリーマート関連漏洩を主張している脅威アクターのハンドル名および所属または別名とされるグループ名である。なお、アルファベット表記は原文ママであり、カタカナ表記は推定発音による。
ShinyHunters
2020年頃から活動が確認されている著名な脅威アクターグループの一つである。2026年に入ってからもMatch Group(Hinge等)、Aura、McGraw Hillなど大手企業を標的とした漏洩主張を継続的に行っている。
BIMI(Brand Indicators for Message Identification)
電子メールの送信元ブランドを認証付きでロゴ表示する技術仕様である。DMARC認証に成功したメールに認証済みブランドロゴを表示させる仕組みで、なりすましメール対策として有効とされる。ファミリーマートは2026年5月より同技術を導入している。
改正個人情報保護法
2022年4月に全面施行された日本の個人情報保護法の改正版である。個人の権利利益を害するおそれがある漏えい等が発生した場合の個人情報保護委員会への報告と本人通知が義務化されている点が大きな特徴である。
【参考リンク】
ファミリーマート 公式サイト(外部)
日本第二位のコンビニエンスストアチェーン公式サイト。会社情報やニュースリリース、個人情報保護方針などを掲載している。
ファミリーマート 店舗数ページ(外部)
2026年4月30日時点で国内16,421店舗、国内外合計25,362店舗という最新店舗数を公開している公式ページ。
伊藤忠商事 公式サイト(外部)
ファミリーマートの親会社である大手総合商社の公式サイト。グループガバナンス情報やプレスリリースを閲覧できる。
Dark Web Informer 公式サイト(外部)
サイバー犯罪・ランサムウェア・データ漏洩・ダークウェブ動向を追跡する脅威インテリジェンスメディアの公式サイト。
個人情報保護委員会(外部)
日本における個人情報保護法を所管する独立行政機関。漏洩報告窓口や法令解説、ガイドラインを公開している。
個人情報保護委員会 漏えい等報告・本人通知の義務化(外部)
2022年4月施行の改正法における漏えい等報告・本人通知義務の対象範囲を解説した同委員会の公式ガイド。
BIMI Group 公式サイト(外部)
ブランドロゴ認証メール標準BIMIの仕様策定・推進団体の公式サイト。技術仕様や採用事例が公開されている。
【参考記事】
Itochu to take 100% stake in convenience store FamilyMart – Nikkei Asia(外部)
2020年に伊藤忠商事がファミリーマートを完全子会社化(100%取得)した取引を報じた記事。両社のシナジー戦略にも言及している。
ファミリーマート 沿革ページ(外部)
2020年11月に伊藤忠商事子会社のTOB・株式併合により上場廃止となった経緯を含む、公式の沿革情報を掲載した一次資料。
ファミマ・クラブ会員情報流出に関する調査結果報告について – ファミリーマート(外部)
2003年に発生したファミマ・クラブ会員約140万人のうち約18万人分の個人情報流出事案に関する公式調査結果報告。
ノートパソコンの盗難に関するご報告とお詫び – エイ・ケイ・フランチャイズシステム(外部)
2023年3月のFC運営会社社員ノートPC盗難事案に関する公式PDF。第三者への流出・不正使用は確認されていない旨が明記されている。
2026 Data Breaches: Cybersecurity Incidents – PKWARE(外部)
2026年に発生した主要データ漏洩事案を月別に整理した分析記事。近年の攻撃トレンドの傾向分析を含んでいる。
List of Recent Data Breaches in 2026 – Bright Defense(外部)
2026年に世界で発生した直近のデータ漏洩事案を体系的にまとめたデータベース。大手企業の漏洩主張と確認状況を時系列で整理している。
【関連記事】
マネーフォワード『GitHub』不正アクセス、ビジネスカード370件流出可能性──銀行連携を一時停止(2026年5月)
日本のフィンテック大手における第三者プラットフォーム(GitHub)経由の侵害事案。サプライチェーン経由の漏洩リスクという観点で本記事と接続する。
オリエンタルダイヤモンド、サーバーが暗号化される被害公表─氏名・住所・電話番号が流出した可能性(2026年5月)
日本企業のサーバー暗号化被害と個人情報流出可能性の公表事例。日本国内の小売・サービス業を取り巻くランサムウェア・データ漏洩動向を理解するうえで参考になる。
クーパン個人情報3,370万件流出 韓国EC最大級のデータブリーチが示す「ログイン後の世界」の脆さ(2025年12月)
韓国EC最大手クーパンにおける3,370万件規模の個人情報流出事案。アジアの生活インフラ企業を標的とした大規模漏洩の文脈で本記事と並列に位置づけられる。
ユニバーサルミュージック、ECサイト不正アクセスで300万件超の顧客情報流出の可能性(2025年11月)
日本の大手企業のECサイト侵害による300万件超の顧客情報流出可能性。改正個人情報保護法下での企業対応という観点でも参考になる事例。
タリーズコーヒー、個人情報9万件超漏洩の可能性 – クレジットカード情報も危険にさらされる(2024年)
日本の小売・飲食チェーンにおけるサイバー攻撃・個人情報漏洩事案。長期間にわたる不正アクセスの検知遅れという、本記事の文脈に通じる課題を扱っている。
警察庁サイバー脅威レポート最新版|昨年を総括、過去最悪の被害額が並んだ1年間(2026年3月)
警察庁による2025年次サイバー脅威レポートをまとめた記事。日本のサイバー攻撃情勢の全体像を把握するための背景情報として有用。
【編集部後記】
毎日のように立ち寄るコンビニが「データを取り扱う巨大な情報企業」でもあるという事実、改めて意識する機会になったのではないでしょうか。今回の件はまだ「主張段階」ですが、皆さんの生活圏で利用しているサービスに同じ報道が出たとき、最初に確認すべきは何だと思いますか。
公式発表、利用しているアプリの登録情報、決済まわりの履歴—。一緒に「自分のデータの居場所」を棚卸ししてみませんか。皆さんが普段どんな備えをされているか、ぜひ教えてください。
