本日のインシデント（4/18速報）

2026年4月18日（土）速報

今週は「自社の外側」で事故が起きた3件が並んだ。ホテルオークラ福岡は人事業務委託先・システムニシツウのクラウドサーバがランサムウェアに感染し、従業員9,501名分の氏名・住所・給与口座までの人事情報が漏えいの恐れ。奈良市シルバー人材センターは業務用PC1台が遠隔操作され、Windowsのメモ帳で内部メモが閲覧された可能性を公表。海外では、Fortinet FortiClient EMSにCVSS 9.1のゼロデイ（CVE-2026-35616）が悪用確認済みとしてCISAがKEV追加、米連邦機関に4月9日までの修正を義務化した。委託先SaaS・小規模端末・エッジ機器という、専任担当がつきにくい領域が狙われている。

ホテルオークラ福岡：委託先「システムニシツウ」のクラウドにランサムウェア、従業員9,501名分の情報漏えいの恐れ

公表日

2026年4月10日（感染確認: 2026年3月12日）

被害組織

ホテルオークラ福岡（福岡市博多区）／委託先: 株式会社システムニシツウ

漏えい懸念件数

従業員・退職者 合計9,501名分

対象情報

氏名、性別、住所、生年月日、家族構成、電話番号、給与口座、学歴、従業員番号、所属、役職など人事関連情報一式

当局対応

個人情報保護委員会に速報提出済み／博多警察署に通報済み

ホテルオークラ福岡は2026年4月10日、人事関係業務を委託していた株式会社システムニシツウのクラウドサーバが第三者の不正アクセスを受け、ランサムウェアに感染したと公表した。感染の確認は2026年3月12日で、調査を進めたうえで約1カ月後の公表となった。

漏えいの可能性がある情報は、在職者・退職者を含む従業員9,501名分の氏名・性別・住所・生年月日・家族構成・電話番号・給与口座・学歴・従業員番号・所属・役職など、採用から退職までの人事データがほぼ一式含まれる。現時点で悪用の報告はないとしているが、攻撃者が暗号化と同時にデータを窃取した可能性は否定されていない。

本件は「自社ではなく委託先のSIerがやられた」サプライチェーン型の典型で、委託元であるホテル側は被害インフラを直接管理していない。給与口座情報までが外部のクラウドに集約されていた点は、人事BPO・給与計算の委託先選定における重要な論点となる。

奈良市シルバー人材センター：業務用PC1台が遠隔操作、メモ帳で内部メモが閲覧された可能性

発生日／確報

発生: 2026年3月9日／確報公表: 2026年4月8日

被害組織

公益社団法人 奈良市シルバー人材センター

影響範囲

業務用PC 1台（遠隔操作プログラム経由）

発生した操作

Windows標準の「メモ帳」が起動され、メモファイルが閲覧された可能性あり（大量ファイル転送の痕跡は検出されず）

当局対応

奈良警察署に相談／外部セキュリティ専門機関に調査依頼

公益社団法人奈良市シルバー人材センターは2026年4月8日、業務用PC1台が第三者による不正アクセスを受けたとする確報を公表した。発生は2026年3月9日で、外部からの遠隔操作プログラムにより当該PCが操作され、Windows標準の「メモ帳」が起動されてメモファイルが閲覧された可能性があるとしている。

外部への大量ファイル転送やダウンロードに関する痕跡は検出されておらず、少なくとも現時点では大規模な漏えいには至っていない。発生直後に奈良警察署へ相談し、外部のサイバーセキュリティ専門機関へ調査を依頼した。対象PCはネットワークから隔離し、業務は別端末で継続している。

規模としては従業員数名〜数百名の公益法人・地方団体で頻出するパターンで、「1台のPCが外部から操作され、デスクトップやメモに残した個人情報や連絡先が覗かれた可能性が残る」というものだ。大規模流出の報道には載りにくいが、地域住民の会員情報を預かる現場としては重大な事案である。

Fortinet FortiClient EMSにCVSS 9.1のゼロデイ（CVE-2026-35616）、悪用確認済みでCISA KEV追加

脆弱性番号

CVE-2026-35616（CVSS 9.1）

影響を受ける製品

FortiClient EMS バージョン 7.4.5 〜 7.4.6

脆弱性の種類

認証前に悪用可能なAPIアクセスバイパス → 権限昇格

悪用の状況

watchTowrのハニーポットが2026年3月31日から攻撃試行を観測

対応

Fortinetが帯域外でホットフィックスを公開／米CISAが2026年4月6日にKEVへ追加（米連邦機関は4月9日までの修正を義務化）

FortinetはエンドポイントManagement Server（EMS）に存在する重大な脆弱性「CVE-2026-35616」について、帯域外（out-of-band）でのホットフィックスを公開した。CVSSは9.1で、認証前にAPIへアクセスできてしまい、そのまま権限昇格につながる。影響を受けるのはFortiClient EMS 7.4.5〜7.4.6で、既に野良での悪用が確認されている。

watchTowr社の観測では、ハニーポットに対する攻撃試行が2026年3月31日から記録されている。米CISAは2026年4月6日、本脆弱性をKnown Exploited Vulnerabilities Catalog（KEV）に追加し、連邦民間行政機関に対して4月9日までに修正パッチを適用するよう義務づけた。

FortiClient EMSはVPN・エンドポイント管理用のサーバで、社内外のクライアントPCの設定・ポリシー配信を担う。ここを侵害されると、配下の全端末へポリシーや証明書の差し替えを通じて横展開される可能性がある。Cisco Talosも「インターネットに面しパッチ適用が遅れがちなエッジ機器が、侵入の主要な入り口になっている」と指摘している通り、境界防御機器そのものが侵入口になる構図だ。

編集部まとめ

今週は「自社システムの外側」で事故が起きた3件が並んだ。委託先クラウドのランサム、業務用PC1台の遠隔操作、境界製品のゼロデイ。中小企業にとって、BPO・委託先・SaaS・エッジ機器はいずれも自社の主担当がつきにくい領域で、事故を減らす最短ルートは「一覧化」と「契約・運用ルールの事前整備」である。今日のうちに、人事BPO委託先の直近インシデント有無と、FortiClient EMSを含むエッジ機器のバージョンを確認してほしい。

参考情報

• ホテルオークラ福岡、委託先のランサムウェアと不正アクセス被害で従業員の個人情報漏洩の恐れ - セキュリティ対策Lab
• 奈良市シルバー人材センター、業務用PCへの不正アクセスの被害 - セキュリティ対策Lab
• Fortinet Patches Actively Exploited CVE-2026-35616 in FortiClient EMS - The Hacker News
• CISA Adds One Known Exploited Vulnerability to Catalog (2026-04-06)
• Fortinet Issues Emergency Patch for FortiClient Zero-Day - Dark Reading