プライバシー

中古車を検索しただけで、ローン審査結果も住所も漏れていた――CarGurus1250万人流出と『2000ドル払え』の脅迫メール

中古車を探していただけなのに。2026年2月、世界最大級の中古車検索サイトCarGurusから1250万人分のデータがハッカーフォーラムに公開されました。メールアドレスだけではありません。名前、住所、電話番号、IPアドレス、そしてオートローンの事前審査申請データと審査結果まで。身代金の交渉が決裂した後、データは無料でダウンロードできる状態になりました。そして今、被害者に『2000ドルをビットコインで払わなければ情報を公開する』という脅迫メールが届き始めています。

2026年4月10日8分で読めます

まずは無料で診断してみませんか？

記事を読む前に、あなたの現状を確認できます

プライバシー診断を始めるサイト診断を始める

この記事でわかること

中古車サイトCarGurusから1250万人の個人情報が流出しオートローン審査データも含まれていた
ハッカー集団ShinyHuntersが身代金交渉決裂後に6.1GBのデータを無料公開した
被害者に2000ドルのビットコイン脅迫メールが実際に届いている
車の検索や購入という日常行為が大規模なプライバシーリスクに直結している

何が起きたのか

2026年2月13日頃、ハッカー集団ShinyHuntersがCarGurusのシステムに侵入しました。2月21日、ShinyHuntersはダークウェブ上のリークサイトに6.1GBのデータアーカイブを公開。翌22日、Have I Been Pwnedがデータセットを解析し、1250万件以上のメールアドレスが含まれていることを確認しました。

CarGurusは2006年設立のオンライン中古車マーケットプレイスで、車の検索・購入・ローン申請を一括で行えるサービスです。TechCrunchはCarGurusが『封じ込められたサイバーセキュリティインシデント』を認めたと報じています。

『車を探しただけ』で漏れたもの

メールアドレス:1250万件以上
氏名、電話番号、住所
IPアドレス
ユーザーアカウントIDの紐づけ情報
オートローンの事前審査(プリクオリフィケーション)申請データ
オートローンの審査結果
ディーラーのアカウント情報とサブスクリプション情報

特に深刻なのは、ローンの審査申請データが含まれている点です。車のローン審査にはSSN(社会保障番号)の入力が必要な場合があり、漏えいデータにSSNが含まれている可能性が指摘されています。

『2000ドル払え』――被害者に届いている脅迫メール

この事件で最も生々しいのは、漏えい後に被害者に実際の脅迫メールが届いていることです。

『CarGurusで情報が漏えいした。あなたのメール、電話、デバイスにアクセスしている。2000ドルをビットコインで送金しなければ情報を公開する』

集団訴訟のコメント欄には、同じ文面の脅迫メールを受け取ったという被害者の報告が複数寄せられています。攻撃者は漏えいデータを使って個別に脅迫を行っているのです。車を探していただけの人が、身代金を要求されている。これが2026年の現実です。

『検索しただけ』のデータがなぜ危険か

多くの人はECサイトで『購入した』データが漏れることは想像できても、『検索しただけ』『審査を申請しただけ』のデータが漏れることは想像していません。

ローンの審査申請データには収入情報や信用情報が含まれる場合がある
IPアドレスからおおよその居住地域が特定できる
検索・閲覧した車種と価格帯から資産状況を推測できる
ディーラーの情報と組み合わせれば『どの地域のどの店で何を見たか』がわかる
これらの情報はAIを使ったパーソナライズ詐欺の精度を劇的に上げる

Have I Been Pwnedの解析結果

Have I Been Pwnedの解析によると、漏えいデータの約70%(約870万件)はすでに過去の漏えい事件でデータベースに登録されていたものです。しかし残り約30%(約370万件)は新規のデータです。

過去に漏えい済みのデータであっても、ローン審査結果やIPアドレスと組み合わされることで、フィッシングや脅迫に使える新しいプロファイルが生成されます。『前に漏れたから今回は大丈夫』とはなりません。

自分の情報を守るためにできること

メールアドレスが過去の漏えいに含まれていないかHave I Been Pwned等で確認する
CarGurusに限らず中古車サイト・ローンサイトに登録したアカウントを整理する
身に覚えのない信用照会がないか信用情報を確認する
『CarGurusでの漏えいについて』を装ったフィッシングメールに注意する
脅迫メールが届いても決して支払わず証拠を保全して警察に届ける
パスワードを使い回さない

まず確認すべきこと

車を探しただけで脅迫メールが届く時代です。自分のメールアドレスが漏えいしていないかを確認することが、次の被害を防ぐ第一歩になります。

Web検診のプライバシー診断では、メールアドレスの漏えいチェック、デジタルフットプリントの確認、プライバシースコアの算出を無料で行えます。

出典

TechCrunch: https://techcrunch.com/2026/02/24/cargurus-data-breach-affects-12-5-million-accounts/

Have I Been Pwned: https://haveibeenpwned.com/Breach/CarGurus

Fox News / CyberGuy: https://www.foxnews.com/tech/cargurus-breach-linked-shinyhunters-exposes-12-4m-records

Top Class Actions(集団訴訟・脅迫メール報告): https://topclassactions.com/lawsuit-settlements/lawsuit-news/class-actions-claim-cargurus-data-breach-exposed-1-2-million-consumers-pii/