何が起きたのか

2026年3月11日深夜から12日未明にかけて、Lloyds Banking Groupがモバイルバンキングアプリにソフトウェア更新を適用しました。この更新にAPI(アプリケーション間のデータ通信インターフェース)の設計上の欠陥が含まれていました。

この欠陥により、午前3時28分から8時08分までの約5時間、2人の顧客がほぼ同じタイミングで取引履歴を表示すると、一方の取引データがもう一方の画面に表示される状態になりました。影響はLloyds、Halifax、Bank of Scotlandの3ブランドに及びました。

何が見えていたのか

  • 取引金額、日付、振込先の詳細
  • 口座番号とソートコード(銀行コード)
  • 支払い参照番号
  • 国民保険番号(日本のマイナンバーに相当)
  • Lloyds以外の銀行の顧客の情報(振込先として表示)

2150万人のモバイルバンキングユーザーのうち、問題の時間帯にログインしたのは167万人。そのうち最大44万7936人がデータ露出の影響を受け、11万4182人が実際に他人の取引をクリックして詳細情報を閲覧しました。

ハッカーは一人もいない

この事件で最も注目すべき点は、攻撃者が存在しないことです。マルウェアなし、フィッシングなし、不正アクセスなし。認証システムは正常に動作していました。壊れたのは『アプリケーション層のアクセス制御』、つまりログインした後にデータを表示する部分のコードでした。

ハッカーがいなくてもデータは漏れる。1つのAPIの設計ミスが、45万人の口座のプライバシーを壊すのに十分だった。

英国の議会財務委員会の委員長は『デジタルバンキングの利便性にはトレードオフがある』と指摘しています。英国の大手銀行は2023年1月から2025年2月の間に158件のIT障害を起こし、合計800時間以上のサービス停止が発生しています。

あなたのデータも同じ構造で守られている

この事件は英国の銀行の話ですが、問題の構造は普遍的です。私たちが日常的に使うサービスのほとんどが、APIを通じてデータを表示しています。

  • ECサイトの注文履歴
  • サブスクリプションサービスのアカウント情報
  • 医療ポータルの診察記録
  • 行政サービスのマイページ
  • フィンテックアプリの残高・取引履歴

これらのサービスで『ログインさえすれば安全』と思っていても、バックエンドのコードが正しくデータを分離していなければ、他人の情報が見える可能性は常にあります。そしてそのバグが発見されるまでの間、あなたの情報も誰かに見えていたかもしれません。

自分の情報を守るためにできること

  • メールアドレスが過去の漏えい事件に含まれていないか定期的にチェックする
  • 銀行やフィンテックアプリの通知設定を有効にし不審な取引を即座に把握できるようにする
  • パスワードを使い回さずサービスごとに異なるものを設定する
  • 不要なアカウントを削除し個人情報の存在箇所を減らす
  • 定期的に自分の名前でGoogle検索し公開情報を確認する
  • アプリやサービスのプライバシーポリシーの変更通知に注意を払う

まず確認すべきこと

Lloyds事件は、ハッキングがなくてもデータが漏れることを証明しました。自分の情報がどこまで広がっているかを把握することが、どんな事故にも対応できる基盤になります。まずはメールアドレスの漏えいチェックから始めてください。

Web検診のプライバシー診断では、メールアドレスの漏えいチェック、デジタルフットプリントの確認、プライバシースコアの算出を無料で行えます。

出典

The Register: https://www.theregister.com/2026/03/27/lloyds_app_glitch_turned_transactions/

TechRadar: https://www.techradar.com/pro/security/lloyds-admits-nearly-half-a-million-banking-customers-affected-by-account-glitch-exposing-transaction-data

HackRead: https://hackread.com/lloyds-compensate-customers-app-glitch-exposed-data/

Computing.co.uk: https://www.computing.co.uk/news/2026/lloyds-banking-glitch-customer-data-exposed