本日のインシデント(4/15公表分)
secure2026年4月15日公表速報
報道機関向け画像ストックの時事通信フォトが画像データベースへの不正アクセスで写真108点を不正ダウンロードされ、顧客にパスワード変更を要請。大阪国税局の20代職員が「千葉県警を名乗る」偽電話に騙され、259件の納税者情報をLINEで外部送信する権威型ソーシャルエンジニアリング被害が判明。Microsoftは4月月例パッチで、すでに悪用されているゼロデイ2件(SharePoint・Defender)を含む167件の脆弱性を修正した。技術・人・運用の三面から中小企業の実務対応を解説する。
本日のインシデント(4/15公表分)
時事通信フォト:画像データベースに不正アクセス、写真108点が不正ダウンロード
- 公表日
- 2026年4月15日
- 不正アクセス確認日
- 2026年4月14日午後
- 被害組織
- 株式会社時事通信フォト(東京・中央/時事通信社子会社)
- 被害内容
- 画像データベースから写真108点が不正にダウンロード
- 現時点での被害認識
- システム基盤への侵入および顧客パスワード情報の大量流出は未確認。警視庁に同日相談済み
時事通信社の子会社で写真販売を手がける時事通信フォトは2026年4月15日までに、運営するウェブサイトが不正アクセスを受け、画像データベースから写真108点が不正にダウンロードされたと発表した。不正アクセスは4月14日午後に確認され、同社は同日中に警視庁へ被害相談している。
同社は顧客情報の保護を目的に利用者全員にパスワード変更を要請。不正が確認されたアカウントの特定を進めるとともに監視体制を強化している。報道・広告・出版業界が多く利用する画像ストックサービスであり、ダウンロードされた画像が二次利用されれば肖像権・著作権面での波及被害が懸念される。
中小企業への影響
会員制サービスやECサイトを運営する中小企業にとって、認証情報の使い回しとID・パスワードリスト攻撃は恒常的な脅威。コンテンツそのものが資産となるシステム(画像DB・動画DB・会員限定記事)では、個人情報流出の有無だけでなく、コンテンツの不正利用による逸失利益も想定した被害評価が必要になる。
推奨対応
- 管理者アカウント・特権アカウントの多要素認証(MFA)を即時導入する
- Webアプリケーション側でログイン試行回数制限・IPレピュテーションフィルタを有効化する
- 不審なログイン検知のためアクセスログを最低90日保存し、週次でレビューする
- 会員向けに送るパスワード更新依頼の手順・文面テンプレートをあらかじめ準備しておく
大阪国税局:20代職員が偽警官に騙され、259件の納税者情報をLINEで外部送信
- 公表日
- 2026年4月15日
- 発生日
- 2026年4月13日(勤務中)
- 被害組織
- 大阪国税局 課税第1部(20代の国税実査官が対象)
- 漏えい件数
- 259件(法人80社・個人179人)/写真108枚をLINE送信
- 対象情報
- 金沢国税局を除く全国10局1事務所管内の納税者情報(事業内容・過去の調査状況・税金の申告額等)
- 攻撃手口
- 「千葉県警」を名乗る人物の電話で「捜査の過程で嫌疑がかかっている」と告げられ、潔白証明のため業務資料を撮影しLINE送信
大阪国税局は2026年4月15日、課税第1部に所属する20代の国税実査官が警察官を名乗る身元不明の人物に騙され、納税者の業務資料を撮影した写真108枚を私用スマートフォンのメッセージアプリ(LINE)で外部送信したと発表した。流出したのは金沢国税局を除く全国10局1事務所管内の法人80社・個人179人の計259件で、事業内容・過去の調査状況・税金の申告額などが含まれる。
きっかけは4月13日、勤務中に私用携帯へ「千葉県警の職員」を名乗る人物から入った電話だった。「捜査の過程で嫌疑がかかっている」と告げられた職員は、潔白を証明するためとして業務資料を撮影し画像を送信。職員が度々離席することを不審に思った別の職員が声をかけ、相手の電話番号をインターネット検索したところ詐欺に使われている番号だったと判明した。公的権威を装う「権威型ソーシャルエンジニアリング」の典型例である。
中小企業への影響
技術的対策をすり抜け、職員の心理(権威への服従・自己防衛本能)を直接狙う攻撃は、中小企業ほど組織防衛の弱点になりやすい。顧客情報や契約書を扱う事務担当者が同じ手口で狙われた場合、1件の被害で取引先全体の信用を失う。業務資料の撮影・外部送信の禁止を規則で明文化し、「不審な電話は一度切って折り返す」を標準行動として全員で徹底することが急務となる。
推奨対応
- 業務資料の私用スマートフォンでの撮影・送信を就業規則で明確に禁止する
- 警察・税務署・弁護士を名乗る電話は一度切り、公式サイト掲載の代表番号から折り返す「コールバック原則」を全社員に周知する
- ソーシャルエンジニアリングを想定した机上訓練を年2回以上実施する(電話・メール・来訪の3パターン)
- 情報持ち出し・外部送信発生時の報告フロー(直属上司→情報セキュリティ責任者→必要なら警察)を1枚の図で掲示する
Microsoft 2026年4月月例パッチ:悪用確認済みゼロデイ2件を含む167件の脆弱性を修正
- 公開日
- 2026年4月15日(日本時間)
- 対応件数
- 167件の脆弱性(CVEベースで165件)
- 悪用確認済みゼロデイ
- CVE-2026-32201(SharePoint Server なりすまし)/CVE-2026-33825(Microsoft Defender 特権昇格)
- 高リスク脆弱性
- CVE-2026-33824(Windows IKE サーバー拡張機能のリモートコード実行、CVSS 9.8/認証不要・ユーザー操作不要)
- 対象製品
- Windows、Office、SharePoint Server、SQL Server ほか広範
Microsoftは2026年4月15日、月例セキュリティ更新プログラムを公開した。今回は合計16 7件(CVEベースで165件)の脆弱性に対応しており、このうち2件は更新公開前から悪用が確認されているゼロデイ脆弱性で、優先的なパッチ適用が必要となる。
悪用確認済みゼロデイは、CVE-2026-32201(Microsoft SharePoint Serverのなりすましの脆弱性)とCVE-2026-33825(Microsoft Defenderの特権昇格の脆弱性)の2件。加えてCVE-2026-33824(Windows Internet Key Exchange(IKE)サーバー拡張機能のリモートコード実行の脆弱性)はCVSS基本値9.8の高リスク脆弱性で、認証・ユーザー操作なしで悪用可能とされる。対象はWindows・Office・SharePoint Server・SQL Serverなどに及ぶ。
中小企業への影響
SharePoint ServerやWindows Serverをオンプレミスで運用する中小企業では、ゼロデイ悪用によりファイル共有・イントラ・業務データが即時に危険にさらされる。Microsoft Defenderの特権昇格は、マルウェア感染後に攻撃者が管理者権限を奪取する「被害拡大の起点」になる。パッチ適用の遅延は、事業停止を招くランサムウェア被害へ直結する。
推奨対応
- Windows Update を即時適用し、SharePoint Server利用環境は優先的に4月パッチを当てる
- Microsoft Defenderが有効化され、定義ファイルが最新であることを全端末で確認する
- オンプレミスSharePointの外部公開を最小化(VPN越しアクセスやIP制限)し、未パッチ端末の棚卸しを実施する
- Windows IKE(IPsec VPN用途)の公開状況を点検し、不要なポート(UDP 500・4500)はファイアウォールで遮断する
編集部まとめ
今日のインシデントは「Webアプリへの不正アクセス」「人を狙ったソーシャルエンジニアリング」「ゼロデイ脆弱性の悪用」という3つの異なる攻撃ベクトルを示している。中小企業に共通する教訓は、技術対策・人的対策・運用管理の3点すべてが欠けてはならないこと。今週中に①全社員の重要アカウントのMFA棚卸し、②偽電話への対応ルール周知、③4月Windows Update適用状況の確認――この3点を一気に進めることを推奨する。
