【インシデント速報】2026年5月11日|キャネット10,981件・二次被害確認/東北大学治験データ漏えいおそれ/メグリー窃取確認
secure消費者金融キャネットでは流出からわずか1日で「なりすまし利用」など二次被害が複数件報告された。会員制サイトのマイページに多要素認証を設けていれば被害は限定できた可能性が高い。さらに、教員のPCを踏み台に治験データに到達された東北大学の事例、Webフレームワークの脆弱性で顔写真や転職希望条件まで持ち出されたメグリーの事例と、中小企業にも同じ侵入経路が当てはまる手口が並ぶ。
1. キャネット(消費者金融)|マイページ不正アクセスで10,981名分流出、5月8日時点で不正利用の二次被害を複数件確認
消費者金融大手のキャネット(本社:北海道札幌市)は、2026年5月7日付で同社ウェブサイト内「お客様マイページ」への第三者による不正アクセスを受け、会員の個人情報が外部に流出したと公表した。漏えいの可能性が否定できない個人情報は10,981名分にのぼり、氏名・住所・電話番号・メールアドレス・勤務先情報・金融機関の口座番号と名義・借入日と借入額と残高までが含まれる。
同社の続報(2026年5月8日)によれば、すでに漏えいした情報を用いたなりすましメール送付や不審な電話・郵便物といった二次被害が複数件確認されている。免許証・健康保険証・マイナンバー・収入証明書類は漏えい対象には含まれていない。再発防止策としてマイページパスワードの強制変更と多要素認証の導入を完了し、警察庁・個人情報保護委員会・財務局(東北財務局)への報告も済ませた。
中小企業への影響
会員制サイトのマイページが多要素認証なしのID・パスワード認証のみで運用されているなら、本件と同じ侵入経路に直面する。とくに借入情報や口座情報を扱う事業者は、流出直後に「なりすまし利用」が起きるため、復旧対応より先に顧客への注意喚起と取引停止が必要になる。「漏えいの公表」と「二次被害の検知」をひとつの初動フローに組み込んでおく必要がある。
推奨対応
- 会員制サイトのログインに多要素認証(SMS・認証アプリ・パスキー)を必須化。後付け導入が難しければIP制限・端末認証を併用する
- 口座情報・借入情報など金融データを扱うDBは暗号化+アクセスログの常時取得を行い、異常アクセスの即時検知を実現する
- 「漏えい発覚→顧客への通知→不審メール・電話の注意喚起→取引一時停止」を時系列でフローチャート化し、二次被害の拡大を初動で食い止める
- 従業員教育で「不審な電話・SMS」のチェック方法を社内共有し、自社が攻撃の踏み台にされた場合の応対手順を整備する
2. 東北大学・東北大学病院|教員PCを踏み台に治験業務NASへ不正アクセス、治験患者の個人情報漏えいおそれ
東北大学および東北大学病院は2026年5月1日、同大学が管理するサーバへの不正アクセスを公表した。侵入は2026年4月16日に確認され、調査の過程で東北大学病院の治験業務に関する資料を保管していたNAS(ネットワーク接続ストレージ)にも不正アクセスがあり、治験に参加した患者の個人情報が漏えいした可能性があることが4月23日に判明した。
侵入経路として、教員の業務PCが不正利用され、そこを踏み台に他の情報機器へ横展開(ラテラルムーブメント)が行われたと説明している。大学は2026年4月24日に一部業務システムのパスワードリセットと学内ネットワークの一部セグメント切り離しを実施。不正アクセスのあったNASはネットワークから物理的に切断した。警察と外部専門機関による原因と影響範囲の調査が継続している。
中小企業への影響
「教員PC(=エンドポイント1台)の侵害→共有NASに到達→患者情報漏えい」というラテラルムーブメントは、ネットワークがフラットに作られている中小企業でも同じ経路で起きる。共有ファイルサーバや業務NASに、組織横断で誰でもアクセスできる構成だと、PC1台の感染が組織全体の情報漏えいに直結する。今回のように治験・契約・顧客データなど「最も持ち出されたくない資料」がNAS上にある場合、被害インパクトは極めて大きい。
推奨対応
- 共有NAS・ファイルサーバへのアクセス権限を「業務に必要な人のみ」に絞り込み、四半期ごとに棚卸しする(最小権限の原則)
- 機微なデータ(治験・契約・財務)を扱うNASは独立セグメントへ分離し、業務PCからの直接アクセスを禁止し、踏み台サーバ経由のアクセスログを取得する
- 業務PCにEDR/XDRを導入し、ラテラルムーブメントの初動(権限昇格・横展開)を検知できる体制を整える
- 「教職員・従業員PCが侵害された前提」のインシデント対応訓練を年1回以上実施し、ネットワーク切り離しの判断者・手順を明確化する
3. メグリー(歯科衛生士転職サイト)|Webフレームワーク脆弱性で個人情報の窃取を確認、顔写真・LINE ID・転職希望条件まで対象
ホワイトエッセンス株式会社が運営する歯科衛生士向け転職マッチングサイト「メグリー(megry.jp)」は2026年4月17日、運用サーバ上のデータベースに保存されていた個人情報が窃取された可能性が高いと公表した。当初の発覚は2026年2月18日、運用サーバの一部に不審なファイルが設置されていることが判明したことによる。
窃取された可能性のあるデータは、氏名・歯科医院名(事業者名)・顔写真・生年月日・住所・メールアドレス・電話番号・LINE ID・「メグリー」へのログインパスワード・学歴・職歴・転職希望条件・マッチング履歴。原因は、Webアプリケーション開発に用いていたフレームワークの脆弱性を悪用されたものと推測されている。同社は不正アクセス発覚後にサービスを停止し、攻撃者IPのブロック、データベース接続情報やAWS認証情報の変更、アクセス制御の強化を段階的に実施した。
中小企業への影響
Webサービスを内製・SaaSで提供している中小企業の多くがOSSフレームワーク(Laravel、Rails、Django、Spring等)を採用しているが、フレームワーク本体や依存ライブラリのアップデートが3か月以上滞っているケースは珍しくない。一度脆弱性を突かれてDBごと持ち出されると、顔写真や転職希望条件のような「機微で取り戻せない情報」まで根こそぎ流出する。とくにマッチング系・人材系のサイトは、漏えい後に応募者・利用者が職場に転職活動を知られるなど、副次的被害が長く残る。
推奨対応
- 使用しているフレームワーク・ライブラリの最新バージョンと自社環境のバージョンを月次で照合する(Dependabot、Renovate等の自動化推奨)
- サーバ上のファイル変更を常時監視するFIM(File Integrity Monitoring)を導入し、不審ファイル設置を即時検知する
- 本番DB内の顔写真・身分証画像などの取り扱いポリシーを見直し、不要になったデータは速やかに削除する保持期間ルールを設ける
- サービス公開前と公開後(年1回以上)に外部の脆弱性診断・ペネトレーションテストを実施し、フレームワーク起因は欠陥を洗い出す
編集部まとめ
今日取り上げた3件は「会員サイトのID/PW運用」「フラットなネットワーク構成」「フレームワーク放置」と、中小企業でも明日にでも当てはまる弱点を突いている。多要素認証・最小権限・依存ライブラリ更新──このうち1つでも欠ければ、四桁・五桁の漏えいに直結する。連休明けの今こそ、社内の3点セット棚卸しを行いたい。
