【セキュリティニュース】2026年3月25日号|メディカ出版ランサム第2報・大阪マラソン個人情報漏えい・GitLab AI脆弱性・Langflow悪用警告
secure今号は4本のニュースをまとめます。医療系出版社のメディカ出版がランサムウェア被害から順次復旧中で第2報を公表しました。大阪マラソン2026では認証機能の設定ミスにより4,101人分の個人情報が一時閲覧可能な状態になっていたことが判明しています。GitLabはAIゲートウェイコンポーネントの重大脆弱性(CVE-2026-1868、CVSS 9.9)へのパッチを緊急リリース。CISAはAIワークフロー基盤「Langflow」の脆弱性(CVE-2026-33017)を既知悪用脆弱性カタログに追加しました。
【NEWS 01】メディカ出版、ランサムウェア被害から順次復旧中——第2報で個人情報漏えいの全容調査継続
情報源:メディカ出版 公式発表 | 2026年3月25日
医師・看護師向けの専門書や医学教育コンテンツを提供するメディカ出版は2026年3月25日、ランサムウェア被害に関する第2報を公表しました。3月13日未明に社内システムでの異常を検知し、ランサムウェアによる暗号化被害と判明。警察への通報と個人情報保護委員会への報告を3月14日に完了しています。第2報時点では、社員PC・スマートフォン・Office 365の一部利用は再開しているものの、受注・発送・問い合わせ対応窓口は停止継続中です。漏えいの対象範囲(日本呼吸療法医学会会員・顧客・取引先・採用応募者の情報)については件数調査中です。
▌中小企業への影響:医療・出版分野では顧客DBが主要標的になります。業務停止の長期化は信頼失墜を招き、オフラインバックアップの有無が事業継続の分水嶺です。
▌推奨対応:①オフラインバックアップの最終取得日確認 ②VPN機器・RDPをMFA化 ③委託先アカウントの棚卸しと不要権限削除
【NEWS 02】大阪マラソン2026、ボランティア4,101人分の個人情報が一時閲覧可能に——認証機能の設定ミスが原因
情報源:大阪市・大阪府 発表 | 2026年3月25日
大阪マラソン2026の組織委員会は2026年3月25日、ボランティア専用システムにおいて参加登録者4,101人分の個人情報が他の登録者から閲覧できる状態になっていたと発表しました。期間は2026年3月16日〜18日の3日間。原因はシステム構築会社が閉鎖作業前に誤って認証機能を解除したことです。3,477人は氏名・所属団体名が、うち18人は携帯電話番号・メールアドレスも閲覧可能な状態でした。
▌中小企業への影響:委託先の設定ミスが自社の個人情報漏えいに直結します。個人情報保護法上は委託元も監督責任を問われます。
▌推奨対応:①委託システムのアクセス制御設定を定期監査 ②設定変更後のダブルチェック体制必須化 ③漏えい時の報告義務を委託契約に明記
【NEWS 03】GitLab AIゲートウェイにCVSS 9.9の重大脆弱性——認証なしでAIモデルのAPIトークンが漏えい(CVE-2026-1868)
情報源:GitLab / CVEdetails | 2026年3月25日
GitLabは2026年3月25日、パッチリリース(バージョン18.10.1、18.9.3、18.8.7)を公開し、AIゲートウェイ「Duo Workflow Service」の重大脆弱性(CVE-2026-1868、CVSS 9.9)に対応しました。未認証の攻撃者がセルフホスト型GitLabのAIモデルAPIトークンにアクセスできる問題で、対象はGitLab EE 18.5以降18.8.7未満・18.9以降18.9.3未満・18.10以降18.10.1未満です。
▌中小企業への影響:セルフホストGitLab EE利用企業に直接影響。APIトークン漏えいによりOpenAI等が不正利用(料金発生)されるリスクあり。
▌推奨対応:①GitLab EEを18.8.7・18.9.3・18.10.1以降に早急アップデート ②即日対応困難な場合は外部アクセスをVPN経由のみに制限
【NEWS 04】CISAがLangflow脆弱性CVE-2026-33017をKEVに追加——公開20時間で悪用が始まった認証不要RCE
情報源:CISA / The Hacker News | 2026年3月25日
CISAは2026年3月25日、AIエージェント・RAGパイプライン構築基盤「Langflow」の認証不要RCE脆弱性(CVE-2026-33017、CVSS 9.3)をKEVカタログに追加しました。脆弱性公表(3月17日)から20時間以内に実際の悪用が観測されており(Sysdig TRT)、悪用されると接続先DBの認証情報・AIモデルのAPIキーが窃取されます。Langflow 1.8.1以前が対象、1.9.0以降で修正済みです。
▌中小企業への影響:社内AI環境のPoC等で利用されるケースがあります。インターネット公開状態の放置は即座に侵害されます。
▌推奨対応:①Langflowを1.9.0以降へ直ちにアップグレード ②公開インスタンスを停止またはIP制限 ③APIキーをローテーション(再発行)して旧キーを無効化
本日のまとめ:ランサムウェアによる業務停止長期化(メディカ出版)、委託先設定ミスによる個人情報漏えい(大阪マラソン2026)、AIツールの重大脆弱性2件(GitLab CVE-2026-1868・Langflow CVE-2026-33017)を取り上げました。AI機能の業務活用が広がる中、AIツールに付随する脆弱性への注意が急務です。
