【インシデント速報】2026年4月21日|CAMPFIRE GitHub不正アクセス・トーホーのメール乗っ取り・IPA GW前注意喚起
secure2026年4月20日(月)公表分まとめ
4月20日は「アカウント乗っ取り」が目立つ一日となった。CAMPFIREはシステム管理用GitHubアカウントへの不正アクセス第二報で、取引先1社分と従業員・業務委託者413名分の個人情報が閲覧可能な状態だったと開示。食品卸大手のトーホーは社員1名のメールアカウントが乗っ取られ、取引先へ不審メールが送られた事案を公表。さらにIPAはゴールデンウィーク前の注意喚起として、機器の脆弱性を突く「ネットワーク貫通型攻撃」への対策を呼びかけた。いずれも中小企業にとって「連休前に最低限見直すべき入口」を示している。
本日のインシデント(4月20日公表分)
CAMPFIRE:GitHub アカウント不正アクセスの第二報、従業員・業務委託者413名の個人情報が閲覧可能状態だった
- 公表日
- 第一報: 2026年4月3日 / 第二報: 2026年4月14日(ScanNetSecurityは4月20日に追加報道)
- 発生日時
- 2026年4月2日 22時50分頃(社内監視で検知)
- 侵害対象
- 同社システム管理に使用していたGitHubアカウント1件
- 閲覧可能だった情報
- 取引先1社の担当者連絡先/自社従業員・業務委託者(退職者含む)413名の氏名・メールアドレス
- 現時点の対応
- 該当アカウントの利用停止、個人情報保護委員会への報告、Personal Access Token(PAT)依存の全面見直し、権限設計の再整備
クラウドファンディング事業を展開するCAMPFIREは、4月2日夜に検知したGitHubアカウントへの不正アクセスについて、4月14日に第二報を公開した。調査の結果、乗っ取られたGitHubアカウントから一部ソースコードが閲覧された可能性に加え、連絡先として同リポジトリに含まれていた個人情報(取引先1社の担当者連絡先、従業員および業務委託者計413名分の氏名・メールアドレス)が閲覧可能な状態にあったことが確認された。
同社は不正利用の事実は現時点で確認されていないとしつつ、Personal Access Tokenの無効化、認証情報の再発行、権限設計の見直しを実施。個人情報保護委員会への報告も済ませている。ScanNetSecurityは4月20日、第二報に基づく詳報を配信した。
中小企業への影響
GitHubのPATやSSH鍵は「開発者個人」に紐づきがちで、管理ルールが属人化しやすい。取引先や従業員の連絡先が環境変数ファイルや設定サンプルとしてリポジトリに残っているケースも少なくない。中小規模のWeb・SaaS事業者では、開発者1人のアカウント流出がそのまま取引先情報・顧客メーリングリスト流出につながる構造は珍しくない。
推奨対応
- GitHub OrganizationのPAT棚卸し。長期有効なclassic PATを廃止し、fine-grained PATかGitHub Appsへ移行
- 従業員メーリングリスト・取引先担当者連絡先がリポジトリに含まれていないかgit-secretsやTruffleHogでスキャン
- GitHub OrganizationでSSO・2段階認証・IP allowlistを必須化
- 退職者のGitHubアクセス棚卸しを四半期ごとに実施(CAMPFIREの413名には退職者が含まれている)
株式会社トーホー:社員メールアカウントが乗っ取られ、取引先宛に不審メールが送信される
- 公表日
- 2026年4月7日(社内向け注意喚起、その後4月20日にかけて追加情報を整理)
- 不正利用期間
- 2026年3月31日〜4月6日
- 被害組織
- 株式会社トーホー(本社: 神戸市、業務用食品卸・小売・外食事業)
- 漏えい・流出の有無
- 社員1名のメールアカウントの不正利用を確認。顧客・取引先情報への直接的な流出は現時点で未確認
- 対応状況
- 該当アカウントの利用停止、パスワードリセット、取引先への注意喚起と不審メール削除依頼
業務用食品卸のトーホーは、同社社員1名のメールアカウントが第三者により不正利用され、当該アカウントを経由して大量の不審メールが取引先に送信される事象が発生したと公表した。不正利用の期間は2026年3月31日から4月6日までの約1週間で、不審メールは同社の取引先を名乗る形で配信されたとみられる。
同社は取引先に対し、自社を装った不審メールが届いた場合はURLや添付ファイルを開かず、メールごと削除するよう要請している。メールアカウントの乗っ取り原因(フィッシング被害か、認証情報の使い回しか等)は現時点で明確に公表されていない。
中小企業への影響
食品・物流・商社系の中小企業では、取引先数が多く、メール本数も多いため、1つのメールアカウントの乗っ取りが連鎖的なBEC(ビジネスメール詐欺)や取引先ランサム感染の起点になりやすい。特に営業・購買担当のアカウントは取引条件や請求書PDFがやり取りされるため、攻撃者にとって価値が高い。
推奨対応
- Microsoft 365・Google Workspaceの全アカウントに多要素認証(MFA)を強制適用。管理者画面で適用率を確認
- 海外IP・不審国からのサインインをブロック、または条件付きアクセスで追加認証を要求
- 受信トレイルールによる自動転送・自動削除を管理者側で禁止設定(攻撃者が痕跡を消す常套手段)
- 取引先への事故連絡テンプレを事前に準備。検知から24時間以内に主要取引先へ注意喚起できる体制を整える
IPA:2026年度ゴールデンウィーク向け注意喚起、「ネットワーク貫通型攻撃」対策の徹底を呼びかけ
- 公表日
- 2026年4月20日
- 発信元
- 独立行政法人情報処理推進機構(IPA)セキュリティセンター
- 主なテーマ
- 長期休暇中のインシデント対応遅延リスク/ネットワーク貫通型攻撃/ORB化の懸念
- 対象
- 企業のシステム管理者、経営者、個人ユーザー
- 参考リンク
- IPA公式ページ「2026年度 ゴールデンウイークにおける情報セキュリティに関する注意喚起」
IPAセキュリティセンターは4月20日、ゴールデンウィーク(GW)の長期休暇期間に合わせた情報セキュリティ注意喚起を公開した。担当者不在時にインシデントが発生すると対応が遅れ、被害が拡大するおそれがある点を改めて指摘している。
今回のIPA注意喚起の特徴は、VPN装置・ファイアウォール・業務用ルータなどインターネット接点機器の脆弱性・設定不備を悪用する「ネットワーク貫通型攻撃」を最重点に据えたことだ。攻撃者が組織機器を踏み台(ORB: Operational Relay Box)として悪用し、他組織への攻撃中継点に変える動きが増加しており、GW中の監視薄化期は特に危険度が上がる。IPAはシステム構成の現状把握、脆弱性対策、設定確認、ログ監視、BCP/BCMの見直しを推奨している。
中小企業への影響
中小企業はGW中にIT担当者が完全に不在になることが多く、VPN機器やルータのファームウェア更新が長期間止まりがちだ。脆弱性を突かれて侵入された場合、連休明けまで気付かれず、外部から見れば「静かだが内部で侵害が進行している」状態になる。自社が加害者側(ORB)にされると、取引先や顧客への攻撃中継点として使われ、信用失墜につながる。
推奨対応
- GW突入前にVPN装置・ファイアウォール・ルータのファームウェアを最新版へ更新
- 管理画面のインターネット露出を確認。必要なら社内・VPN経由のみからアクセスできる構成へ変更
- 連休中のログ監視当番を決め、SIEM・EDRのアラートをスマホ通知経由で少なくとも1名が受けられる体制を確保
- 緊急連絡網(自社IT責任者・ベンダー・警察・IPA)を紙と電子の両方で用意し、担当者が使える状態に
- 重要サーバは休暇前に完全バックアップを取得し、オフライン保管
編集部まとめ
今日の3件は、どれも「アカウント」と「機器」という中小企業が後回しにしがちな領域を突いている。CAMPFIREはGitHubのトークン管理、トーホーはメールアカウントのMFA、IPAはVPN・ルータの脆弱性管理——連休前に確認すべき優先度は、MFA強制 → 公開VPN・ルータのパッチ適用 → GitHub等SaaSのトークン棚卸しの順だ。GW入りまで残り数営業日。自社と取引先の信用を守るために、今週中に一度、IT管理画面を開いてほしい。
