【セキュリティニュース】2026年5月4日号|YCC情報システムへのランサムウェア被害が70万件超に拡大・委託先被害が県・市・大学に波及/デンソー海外2拠点(伊・モロッコ)にランサム不正アクセス/macOS情報窃取マルウェアが2025年で7000%急増、認証情報28億件流出

【セキュリティニュース】2026年5月4日号|YCC情報システムへのランサムウェア被害が70万件超に拡大・委託先被害が県・市・大学に波及/デンソー海外2拠点(伊・モロッコ)にランサム不正アクセス/macOS情報窃取マルウェアが2025年で7000%急増、認証情報28億件流出

ゴールデンウィーク後半・連休4日目の5月4日、企業が押さえておくべき動きが3件あります。第1に4月初旬発生のYCC情報システムへのランサムウェア攻撃の被害が4月下旬時点で70万件超に拡大し、山形市・山形県・東根市・山形大学・山形交通など多数の組織に波及しています。委託先(システムインテグレーター)が攻撃を受けたことで、自社の保有情報が間接的に流出する典型例です。第2にデンソーは4月30日、イタリアとモロッコのグループ会社「デンソーサーマルシステムズ」拠点が3月28日に不正アクセスを受け、ランサムウェアの動きが確認されたと公表しました。海外子会社経由でのランサム侵入は近年の主要パターンです。第3にKELAが公表した「State of Cybercrime 2026」レポートで、macOSの情報窃取マルウェア感染が2024年の1,000件未満から2025年に約7万件と7000%増加し、漏えい認証情報は世界全体で28億件に達したと報告されました。経営層・知識労働者のmacOSが狙われており、Cookie・セッショントークンの窃取で多要素認証(MFA)を迂回されるリスクが上がっています。

NEWS 01
山形市・山形県・山形大学・東根市等公式発表 | 2026年4月中旬〜下旬

YCC情報システムへのランサムウェア攻撃、被害が70万件超に拡大——委託先(SI企業)への攻撃が県・市・大学・民間企業に波及

山形新聞・山形放送グループのシステムインテグレーターである株式会社YCC情報システムが2026年4月2日早朝にランサムウェア攻撃を受けた事案について、4月中旬から下旬にかけて被害組織と漏えい件数が連日拡大して公表されました。報道集計によれば被害件数は4月末時点で延べ70万件超にのぼり、山形市・山形県・東根市・山形大学・山形交通・小国町など複数の自治体・大学・民間企業の個人情報が漏えいのおそれありとされています。本日5月4日時点でも調査は継続中で、影響範囲はさらに拡大する可能性があります。

攻撃者は、自治体・大学・企業から個人情報処理を受託しているSI企業のファイルサーバーを侵害することで、一度の攻撃で多数の組織の機微情報を取得しています。中小企業の経営者・担当者にとっては「自社が直接攻撃を受けたわけではない」のに、委託している会計・人事・健診・予約・販売管理などのシステム経由で自社の顧客情報や従業員情報が漏えいするという、いわゆるサプライチェーン型の典型的な被害パターンです。情報処理推進機構(IPA)が2026年1月に公表した「情報セキュリティ10大脅威 2026」でも、組織編で「サプライチェーンや委託先を狙った攻撃」が上位にランクインしています。

YCC情報システムは外部専門機関と連携しながら侵入経路と影響範囲の調査を継続しており、対象組織には個別に通知を行うとしています。すでに公表された組織のうち、山形市は健康情報システム約50万件・人事給与システム約6,000件・児童相談システム2,520件など極めて機微性の高い情報が対象です。山形県は県職員や看護師など医療関係者を含めて約2万6,800件、東根市は住民記録・国民健康保険・固定資産税関係などあわせて約21万8,010件、山形大学は学生名簿28,562人分や健康診断受診票19,985件など延べ80,091件が漏えいのおそれありと公表しています。

YCC情報システム被害の主な公表組織と件数(4月末時点・累計)

公表組織 漏えいのおそれ件数(公表値) 主なデータ種別
山形市 約50万件超(健康情報システム)/約6,000件(人事給与)/2,520件(児童相談) 健康診断データ・人事給与・児童相談・マイナンバー含む可能性
東根市 約21万8,010件 住民記録・国民健康保険・固定資産税
山形大学 延べ80,091件 学生名簿28,562人分・健康診断受診票19,985件・生活アンケート他
山形県 約2万6,800件 県職員・看護師など医療関係者の個人情報
山形交通 公表(件数調査中) 従業員・顧客の個人情報
小国町ほか自治体 調査・公表進行中 住民関連業務データ
▌中小企業への影響

本件は「自社が直接サイバー攻撃を受けていなくても、委託先がやられれば情報が漏れる」という構造を浮き彫りにしました。中小企業は会計・給与・健康診断・予約・受発注などをクラウドや地元のIT会社に委託しているケースが多く、その委託先がランサムウェアに被害を受けた場合、自社の従業員・顧客情報が外部に流出します。委託先の選定段階でセキュリティ体制を確認していないと、自社のセキュリティ投資が無効化される構造です。また自社が「再委託先」になっている場合、最終委託元(自治体・大企業)からの通知義務違反やSLA違反を問われる可能性もあります。

▌推奨対応
  • 自社が業務委託している外部システム(会計・勤怠・給与・健診・予約・販売管理等)の一覧を作成し、委託先の名称と連絡窓口を整理する
  • 各委託先に対し、過去1年間にランサムウェア・不正アクセスの被害がなかったか、再発防止策の実施状況を文書で確認する
  • 委託先と締結している契約書に「インシデント発生時の通知義務(72時間以内など)」「個人情報保護委員会・主務官庁への報告協力」「サプライチェーン全体の調査協力」が明記されているか確認する
  • 委託先が再委託(孫請け)を行う場合、再委託先のセキュリティ要件と通知義務が同水準で担保されているか契約条項で確認する
  • 自治体・大企業から業務を受託している中小企業は、自社が「YCCのような中継点」になっていないか、SaaS管理画面・VPN・公開ポートの棚卸しを実施する
  • 万一委託先で漏えいが発生した場合の自社の対応手順(顧客通知・記者対応・個人情報保護委員会報告)を雛形化し、連休明けに社内回覧する
  • 連休明け最初の業務として、利用中SaaSのログイン履歴と委託先からのインシデント報告メール(連休中の見落とし)を確認する

NEWS 02
デンソー公表・日本経済新聞・Security NEXT | 2026年4月30日

デンソー、海外2拠点(伊・モロッコ)への不正アクセスを公表——ランサムウェアの動きを確認、海外子会社経由の侵入リスク再認識

トヨタ自動車グループの自動車部品最大手デンソーは2026年4月30日、グループの海外拠点が不正アクセスを受け、ランサムウェアの動きを確認したと公表しました。不正アクセスを受けたのはイタリアのデンソーサーマルシステムズと、モロッコのデンソーサーマルシステムズモロッコの2拠点で、社外関係者および同社に関する情報の一部が第三者によって不正に抜き取られた可能性があるとしています。3月28日(現地時間)に検知し、社内に緊急対策本部を設置して対応に当たっており、現時点で生産や製品納入への大きな影響は確認されていないとのことです。

デンソーは2022年3月にもドイツの設計開発拠点でランサムウェアの被害を受けており、海外子会社経由でのサイバー侵害は同社にとって2回目の大きなインシデントとなります。海外子会社のIT環境は、本社のセキュリティ統制が及びにくく、現地法令や言語・運用慣行の違いから、本社が定めるセキュリティ基準が形骸化しがちです。さらに海外拠点と本社のネットワークが相互接続されている場合、子会社で得たアクセス権を踏み台に本社環境への横展開を試みる「サプライチェーン型・グループ会社経由型」の攻撃が繰り返されています。中小企業でも海外取引先と専用線・VPNでつながっている場合や、海外関連会社・現地代理店と業務システムを共有している場合、同種のリスクを抱えます。

連休中の対応としては、海外拠点・関連会社・取引先と接続している境界機器(VPN・ファイアウォール・リモートデスクトップゲートウェイ)のログ監視と、不審な国・時間帯からのアクセスを連休明け早々に確認することが重要です。連休中は監視体制が手薄になりがちで、検知が遅れて被害が拡大しやすい時期だと、IPAが2026年4月20日付の「2026年度ゴールデンウイークにおける情報セキュリティに関する注意喚起」でも警告しています。とりわけVPN機器・ルーター等のネットワーク境界機器の脆弱性を悪用する「ネットワーク貫通型攻撃」の増加が指摘されています。

デンソー海外拠点不正アクセス事案の概要(4月30日公表時点)

項目 内容
公表日 2026年4月30日(日本時間)
検知日 2026年3月28日(現地時間)
被害拠点 デンソーサーマルシステムズ(イタリア)/デンソーサーマルシステムズモロッコ
攻撃の種類 不正アクセス、ランサムウェアの動きを確認
影響範囲 社外関係者および同社に関する情報の一部が第三者により抜き取られた可能性
生産・出荷への影響 現時点で大きな影響は確認できていない
対応体制 デンソー社内に緊急対策本部を設置、調査継続中
過去の類似事案 2022年3月のドイツ拠点に対するランサムウェア被害(PC約20台が暗号化)
▌中小企業への影響

大企業の話に見えますが、中小企業でも海外取引先や海外関連会社と専用線・VPN・ファイル転送(FTP・SFTP)等で接続しているケースは少なくありません。海外拠点側のセキュリティ統制が緩い場合、そこを踏み台に日本本社のシステムが侵害される可能性があります。また自社が大企業の海外拠点と取引している場合、連休明けに「相手先からの突発的な接続停止・取引停止」の連絡が来ることがあり、生産・納入計画への影響が出ます。「自社は被害者でない」と決めつけず、取引先からの不審なメール・添付ファイル・URL・ファイル転送に対する警戒度を一段高めることが必要です。

▌推奨対応
  • 海外取引先・海外関連会社・海外子会社との接続経路(VPN・専用線・FTP・SFTP・APIキー連携)を一覧化する
  • VPN機器・ファイアウォール・SSL-VPN・リモートデスクトップゲートウェイのファームウェアが最新版になっているか確認する
  • 海外拠点向けに発行している管理者アカウントの棚卸しを行い、退職者・異動者のアカウントが残存していないか確認する
  • ネットワーク境界機器のログを連休前後で比較し、海外IPからの異常な接続試行・ログイン失敗の急増を検知する
  • 取引先(海外を含む)からの「請求書・PO・出荷指示書」の添付メールについて、社内全員にビジネスメール詐欺(BEC)の警戒を再周知する
  • 海外子会社・取引先で発生したインシデントの公表情報を週次で確認し、自社と接続している組織が含まれていないかチェックする
  • 連休明けに、海外取引先からの「セキュリティインシデント発生報告」メール(迷惑メールに振り分けられた可能性)を含めて受信ボックスを精査する

NEWS 03
KELA「State of Cybercrime 2026」/チェック・ポイント・リサーチ | 2026年5月公表

macOSの情報窃取マルウェア感染が2025年で約7000%増、漏えい認証情報は28億件——経営層・知識労働者のMac利用が新たな標的に

サイバー脅威インテリジェンス企業KELAが2026年5月に公表した「State of Cybercrime 2026」レポートによると、macOSデバイスでの情報窃取マルウェア感染が2024年の1,000件未満から2025年には約7万件へと約7000%増加し、漏えいした認証情報は世界全体で約28億6千万件に達したと報告されました。チェック・ポイント・リサーチも1億人超のMacユーザーへの注意喚起を実施しており、macOSを標的とする情報窃取型マルウェア「Banshee Stealer」「MioLab」などの脅威の拡大を指摘しています。

macOSは長年「Windowsよりマルウェアが少ない」と認識されてきましたが、エンタープライズ環境でのMac採用が広がるに伴い、攻撃者の関心が急速にmacOSへシフトしています。情報窃取マルウェアは、ブラウザに保存されたパスワード・Cookie・セッショントークン・暗号資産ウォレット・Keychainの認証情報・SSH秘密鍵・SaaSの認証トークンなどを一度に窃取し、地下フォーラムでログとして売買します。盗まれたセッションCookieは、多要素認証(MFA)を迂回して直接サービスへログインできるため、MFAを有効化していても被害を防げないのが大きな特徴です。

とくに「MioLab」はソフトウェアエンジニア・経営層・暗号資産投資家など高価値ターゲットを狙う商用マルウェアとして知られ、不正広告(マルバタイジング)や偽の認証画面(ClickFix)経由で配布されます。また業務利用のクラウドサービス・認証サービスに関連する漏えいが2025年の全データ侵害の30%以上を占めたとされ、攻撃の主戦場が「個人端末経由でのSaaS資格情報奪取」に移っていることが明確になりました。中小企業で経営者がMacBookを使い、個人と業務のアカウントを混在させているケースは特に高リスクです。

macOS情報窃取マルウェアの主な脅威(2026年5月時点)

項目 内容
感染件数の推移 2024年:1,000件未満 → 2025年:約7万件(約7000%増、KELA調査)
漏えい認証情報の規模 2025年通年で約28億6千万件(パスワード+セッションCookie等)
主なmacOSスティーラー Banshee Stealer/MioLab/Atomic(AMOS)/Poseidon等
標的データ ブラウザ保存パスワード・Cookie・暗号資産ウォレット・Keychain・SSH鍵・SaaS認証トークン
主な感染経路 不正広告(マルバタイジング)/偽インストーラ/海賊版ソフト/ClickFix偽認証画面
標的ユーザー像 ソフトウェアエンジニア/経営層/暗号資産関係者など高価値アカウント保有者
MFAへの影響 セッションCookie窃取によりMFAを迂回して直接ログイン可能
▌中小企業への影響

中小企業ではMacBookを使う経営者・デザイナー・エンジニアが私物端末(BYOD)として業務アカウントを利用しているケースが多く、家庭での私的利用と業務利用が混在しています。一度情報窃取マルウェアに感染すると、Microsoft 365・Google Workspace・Slack・Notion・GitHub・銀行アプリ等のセッションCookieが一括で窃取され、攻撃者は別のPC・別のIPからMFAを迂回してログインできるようになります。経営者本人の端末は社内で最も権限が広く、被害が起きると会計データ・取引先連絡先・契約書ドラフト・人事データに即座にアクセスされる構造です。中小企業ほど「Macは安全」という思い込みを切り替える時期に入っています。

▌推奨対応
  • 業務で利用するMacBook・iMacについて、macOSとSafari/Chromeを最新版にアップデートする(連休中の隙間時間に実施)
  • Macに信頼できるEDR/アンチマルウェア(macOS対応の法人製品)を導入する。Apple純正XProtectは最低限の防御に留まる
  • 業務用ブラウザのプロファイルを業務専用に分け、私的利用は別プロファイル・別ブラウザに分離する
  • Microsoft 365・Google Workspaceの「セッション有効期限」を短縮し、長期Cookieを発行しない設定に変更する
  • SaaSの管理画面で、各ユーザーのアクティブセッション・サインイン中デバイスを定期的に確認・必要に応じて強制サインアウトを実行する
  • 不正広告(マルバタイジング)対策として、業務用Macで使うブラウザにuBlock Origin等のフィルタを導入する
  • 「ClickFix」型の偽認証画面(ターミナルへのコマンド貼り付けを促す画面)を踏まないよう、社内研修で実例を共有する
  • 暗号資産・SSH秘密鍵・社内VPN認証鍵をMacのデスクトップやDownloadsに置かず、ハードウェアキー・パスワードマネージャに退避する

編集部まとめ

本日取り上げた3件は「自社の外」で起きた事故が「自社の中」に被害をもたらすという共通点があります。YCC情報システムの事案は委託先(業務委託のSI企業)経由、デンソーの事案は海外子会社経由、macOSスティーラーの拡大は私物端末(BYOD)経由のリスクをそれぞれ突きつけています。

連休中に経営者が確認しておきたい3点は、(1)業務委託先一覧と直近1年の事故有無、(2)海外取引先・関連会社との接続経路と境界機器のログ、(3)業務利用しているMac・スマホ等個人端末のOS/ブラウザ更新状況です。連休明けの月曜日に「気付いていない侵害が継続中」だった、というのが最悪のシナリオです。次号は5月5日号で連休最終日の動向を追います。

参考情報

  • 山形市公式ホームページ「株式会社YCC情報システム社に対するサイバー攻撃に係る山形市保有個人情報の漏えいのおそれがある事案について」
  • 山形大学「株式会社YCC情報システム社が保管する山形大学保有個人情報の漏えいのおそれがある事案について(お知らせ)」(2026年4月20日)
  • 山形県「株式会社YCC情報システムが保管していた県保有個人情報について」
  • さくらんぼテレビ「東根市の個人情報約21万8000件も漏えいか YCC情報システムのサイバー攻撃で影響拡大」(2026年4月28日)
  • Security NEXT「YCC情報システムにサイバー攻撃 - 影響など詳細を調査」
  • ScanNetSecurity「YCC情報システムにランサムウェア攻撃」(2026年4月21日)
  • 日経クロステック「YCC情報システムのランサム被害70万件超、山形中心に埼玉・幸手市でも」
  • デンソー公表「グループ会社の海外拠点における不正アクセスについて」(2026年4月30日)
  • 日本経済新聞「デンソー、グループ海外拠点に不正アクセス」
  • Security NEXT「デンソー海外2拠点にサイバー攻撃 - 情報流出の可能性、生産に影響なし」
  • ライブドアニュース「デンソー海外拠点に不正アクセス 一部情報が流出した可能性」(2026年4月30日掲載)
  • IPA 独立行政法人情報処理推進機構「2026年度 ゴールデンウイークにおける情報セキュリティに関する注意喚起」(2026年4月20日)
  • IPA「情報セキュリティ10大脅威 2026」(2026年1月29日)
  • KELA「State of Cybercrime 2026」レポート(2026年5月)
  • Forbes JAPAN/Yahoo!ニュース「macOS感染7000%激増、『28億件の認証情報』を盗み出す情報窃取型マルウェアの手口と対策」
  • チェック・ポイント・リサーチ「1億人を超えるMacユーザーに注意喚起 macOSを標的とする情報窃取型マルウェアBanshee Stealerの脅威を報告」
  • SOC Prime「Say My Name: How MioLab is building MacOS Stealer Empire」


コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

MENU