【インシデント速報】2026年4月28日|村田製作所8.8万件流出・2りんかん会員情報漏えい・東根市21.8万件にも被害拡大
secure1. 村田製作所が4月27日に第三報を公表。社員・取引先の個人情報約8.8万件(銀行口座・健康情報を含む)が漏えいした恐れ。
2. イエローハット子会社「2りんかん」のサーバーに不正アクセス。会員のアプリパスワードを含む個人情報が漏えいの可能性。
3. YCC情報システムへのランサムウェア被害が拡大。東根市の住民記録など約21万8千件分のデータも対象と4月28日に判明。
1. 村田製作所、不正アクセスで個人情報約8.8万件流出のおそれ(第三報)
電子部品大手の村田製作所は2026年4月27日、自社IT環境への不正アクセスに関する第三報を公表した。同社は2026年2月28日に不正アクセスの可能性を認識し、3月1日から本格調査を開始。これまでの調査で、不正アクセスを受けた社内の情報共有システムから、従業員やその関係者の個人情報約7.3万件、社外関係者(顧客・仕入先等)の個人情報約1.5万件、合計で最大約8.8万件のデータが取得された恐れがあることが判明した。
従業員関連で取得された恐れがあるのは、社用メールアドレス・電話番号・所属などの業務情報に加え、氏名・生年月日・性別・住所・連絡先・銀行口座情報・健康情報といった機微性の高い情報。社外関係者については、氏名・メールアドレス・電話番号・取引関連情報が対象となる。同社は不正アクセスの経路をすでに遮断済みで、4月27日時点でインターネット上への情報公開や二次被害は確認されていない。生産・販売活動への影響もないとしている。
中小企業への影響
「うちの規模では狙われない」という認識は通用しない。村田製作所のように厳格なセキュリティ体制を持つ大企業ですら、社内情報共有システムが侵害されている。中小企業が攻撃者にとって魅力的なのは、銀行口座情報や健康情報といった機微情報を、従業員管理の名目で1つのシステムに集約していることが多いため。給与・人事・福利厚生のデータが分散管理されておらず、1度の侵害で全社員の個人情報がまとめて流出するリスクは中小企業ほど高い。
推奨対応
- 従業員の個人情報(特に銀行口座・マイナンバー・健康情報)が格納されているシステムを棚卸しし、アクセス権を最小化する
- 社内情報共有ツール(SharePoint・Google Drive・社内Wikiなど)に個人情報が混在していないか点検する
- 侵害発覚から公表までに要した期間(村田製作所は約5週間)を踏まえ、自社の検知・初動対応のSLAを再確認する
- 個人情報保護委員会への漏えい速報義務(覚知から3〜5日以内)に対応できる体制を整備する
2. 2りんかんイエローハット、サーバ侵害で会員のアプリパスワードまで漏えいの可能性
イエローハットは2026年4月23日、連結子会社である株式会社2りんかんイエローハットが管理するサーバーへの不正アクセスを公表した。不正アクセスは4月20日(月)夕刻に検知され、ネットワーク遮断などの緊急措置を実施。外部のセキュリティ専門機関による調査の結果、「2りんかんアプリ」会員の個人情報が漏えいした可能性があることが確認された。
漏えいの可能性がある情報は、氏名・住所・電話番号・生年月日・性別・メールアドレス・会員番号・ポイント残高・アプリユーザーID・アプリパスワード・車両情報。クレジットカード情報は別サーバーで管理しており、漏えいの可能性はない。同社は会員専用サーバーのサービスを一部停止し、影響を受けた会員にメールで個別連絡を進めている。同社の発表を受け、日本経済新聞・INTERNET Watch等が4月27日に大きく報道した。
中小企業への影響
顧客向けスマートフォンアプリの会員DBは、攻撃者にとって「中身がそのまま販売可能」な高価値資産。とくにアプリパスワードの平文・脆弱なハッシュ保存は、利用者が他サービスでパスワードを使い回している場合、二次被害(クレデンシャル・スタッフィング)に直結する。会員制アプリ・ECサイト・予約システムを運営する中小企業は、自社が「同じ手法で狙われる側」であることを前提に対策を組む必要がある。
推奨対応
- 自社が運営する会員DBのパスワード保管方式を確認する(bcrypt/Argon2などのソルト付きハッシュが必須。MD5・SHA1単独保存は即時改善)
- 会員向けアプリ・サイトに二要素認証(SMS・TOTP)を導入し、パスワード単独依存をやめる
- 自社サーバーへの侵入検知(EDR・WAF)と、ログイン試行の異常検知(短時間の大量試行)アラートを整備する
- 万が一漏えいした場合の会員通知テンプレート・パスワード強制リセット手順を事前に作成する
3. YCC情報システム被害が東根市にも拡大、約21万8千件分のデータも漏えいの恐れ
株式会社YCC情報システム(山形市)への2026年4月2日のランサムウェア攻撃の影響範囲が、4月28日にさらに拡大した。新たに山形県東根市は、同社のサーバー内に保管されていた市保有の個人情報約21万8,010件分のデータも漏えいのおそれがあると公表した。対象には、住民記録関係・国民健康保険関係・固定資産税関係などの行政データが含まれ、市民の氏名・住所・マイナンバーなど機微性の高い情報が対象となる。
東根市は国の個人情報保護委員会への報告を行うとともに、YCC情報システムに対し原因究明と再発防止を求めている。現時点で漏えいの事実は確認されていないものの、被害は山形市・山形県・山形大学・山形交通・庄内町・高畠町・幸手市・山形新聞社など9組織以上から、東根市を含む10組織以上に拡大した形となる。1社のシステム委託先を起点としたサプライチェーン型ランサムウェア攻撃の典型事例として、業界の警戒度はさらに高まっている。
中小企業への影響
自社の対策がいくら十分でも、SI企業・クラウド事業者・経理代行など委託先が攻撃を受ければ、預けたデータが漏えいする。とくに自治体・大学・医療機関と取引のある中小企業は、相手先の個人情報を自社の委託先システムに置いている場合、自社が漏えい元として責任を負う立場になり得る。委託先が「攻撃された被害者」であっても、データ提供元の中小企業側に通知義務・賠償責任が発生する契約構造になっている事例も多い。
推奨対応
- 主要な業務委託先(SI・SaaS・経理代行・人事代行)にランサムウェア被害時の通知期限を契約書で明文化する
- 委託先に預けている個人情報の項目・件数・保管期間を棚卸しし、台帳化する(漏えい報告に必須)
- 委託先のISMS・SOC2取得状況、直近のセキュリティ監査結果の開示を求める
- 自治体・大学・公共系と取引している場合は、漏えい時の責任分担条項(通知期限・損害賠償範囲)を再確認する
編集部まとめ
4月最終週の3件は、それぞれ「自社のシステムが直接侵害される」(村田製作所)、「自社の顧客向けアプリが侵害される」(2りんかん)、「委託先のシステムが侵害される」(東根市)という、攻撃の入り口が3パターンあることを示している。中小企業が今すぐ着手すべきは、保有する個人情報の所在マッピングと、アクセス権の最小化、そして委託先のセキュリティ体制の確認。完璧な防御より、被害発生時に何分・何時間で気付き対応できるかが分かれ目となる。
