【インシデント速報】2026年4月28日|YCC情報システムのサプライチェーン被害70万件超・いえらぶCLOUD不正アクセス・CAMPFIRE続報22万件確定
secure1. YCC情報システムのランサムウェア被害は被害組織9件以上・70万件超に拡大。委託先1社の事故が自治体・大学・企業全体を巻き込む典型的なサプライチェーン型攻撃に。
2. 不動産仲介向けSaaS「いえらぶCLOUD」への不正アクセスで、利用企業17,000社の取引先データが標的に。ダークウェブで240万件販売との主張も。
3. CAMPFIREは4月27日の続報で漏えい件数を最大22万5,846件と確定。一部に銀行口座情報を含み、4月28日10時から専用問い合わせ窓口を開設。
1. YCC情報システム ランサムウェア被害が9組織以上に拡大、70万件超の個人情報漏えいの恐れ
山形新聞社・山形放送グループのシステムインテグレーターである株式会社YCC情報システム(山形市)は、4月2日早朝にファイルサーバーがランサムウェア攻撃を受けたことを4月3日に第1報で公表。その後の調査で、同社が委託を受けて保管していた取引先の個人情報に漏えいの恐れがあることが明らかになった。4月14日付の第4報時点で、影響範囲はさらに拡大している。
確認されている被害組織は、山形市・山形県・山形大学・山形交通・庄内町・高畠町・埼玉県幸手市・山形新聞社・関東信越税理士国民健康保険組合など9組織以上。山形市単独でも、健康情報システムで約50万件(氏名・住所・電話番号・保険者番号・検診情報など)、人事給与システムで約6,000件(マイナンバー含む)、児童相談システムで2,520件と、極めて機微性の高い情報が対象となっている。山形大学では延べ80,091件(在学生・卒業生)の個人情報が漏えいの恐れがあると公表された。
侵入経路は2026年4月時点で特定されておらず、ランサムウェアの種類はセキュリティ上の理由で非公表。1社のSI企業への攻撃が、その委託元組織に連鎖的に被害を広げる「サプライチェーン型ランサムウェア攻撃」の典型事例として、業界の注目を集めている。
中小企業への影響
自社が直接攻撃されていなくても、委託先・取引先がランサムウェア被害に遭えば、預けた顧客情報・従業員情報が漏えいするリスクがある。特に給与計算・経理・顧客管理を外部のSI企業やクラウドサービスに委託している中小企業は、自社のセキュリティ対策だけでは防ぎきれない。委託先の情報管理水準が、そのまま自社のリスクになる構造を理解する必要がある。
推奨対応
- 主要な業務委託先・SaaSベンダーに対し、ランサムウェア被害時の通知義務とインシデント対応体制を契約書で確認する
- 委託先に預けている個人情報の項目・件数・保管期間を棚卸しし、台帳化する(個人情報保護委員会への漏えい報告に必須)
- 委託先のSOC2・ISMS取得状況や直近のセキュリティ監査結果の開示を求める
- 自治体・教育機関と取引している中小企業は、契約上の漏えい時責任分担条項(通知期限・損害賠償範囲)を再確認する
2. 不動産仲介SaaS「いえらぶCLOUD」に不正アクセス、17,000社の取引先データが標的に
株式会社いえらぶGROUPは2026年4月8日、自社が運営する不動産仲介業者向けSaaS「いえらぶCLOUD」に、特定の利用アカウントを悪用した第三者による不正アクセスがあったことを公表した。同サービスは全国17,000社以上の不動産会社が利用し、SUUMO・CHINTAI・HOME'S・at home・オウチーノ・賃貸EXなど主要不動産ポータルからの問い合わせを一元管理するCRM機能が中核。同社は4月6日に不正アクセスの可能性を認識して初動調査を開始し、4月27日時点で社外関係者および同社に関するデータが不正に読み出されたことが確認された。
具体的な漏えい件数・内容は調査継続中として非公表だが、ダークウェブでは攻撃者を名乗る人物が、SUUMO・CHINTAIなど大手ポータル経由で集まった住宅検討者の情報約240万件(ユニークメールアドレス約97万件)を1,000ユーロで販売していると主張しており、被害の広がりが懸念される。同社は危機対策本部を設置し、外部のサイバーセキュリティ専門機関と連携して対応にあたっているが、影響を受けた利用企業からは独自の追加発表(アーキテクト・ディベロッパー、ADワークスグループ子会社、日本財託グループなど)が相次いでいる。
中小企業への影響
業界特化型のSaaSは、同業他社の顧客情報が一つのデータベースに集中するため、攻撃者から見れば極めて魅力的な標的になる。不動産・人材・医療・士業など、業種別SaaSを利用する中小企業は、自社が直接攻撃されなくてもサービスベンダー経由で顧客情報が流出するリスクを常に抱えている。今回のように利用企業ごとに個別の漏えい公表が必要になると、顧客対応・通知・行政報告の負荷も大きい。
推奨対応
- 業務で利用しているSaaSに登録している顧客データの項目・件数を確認し、不要な項目(生年月日・住所詳細など)は削除する
- SaaS側のアカウントに多要素認証(MFA)が設定可能か確認し、未設定なら直ちに有効化する
- SaaSベンダーから漏えい時の通知が届いた場合の社内対応フロー(顧客通知・行政報告・記者対応)を事前に整備する
- 同種SaaSを複数社で比較検討する際、第三者監査報告書(SOC2 Type2など)の有無を選定基準に加える
3. CAMPFIRE続報、最大22万5,846件の個人情報漏えい確定 ― 一部に銀行口座情報含む
クラウドファンディング大手の株式会社CAMPFIREは2026年4月27日、4月24日に公表した不正アクセス事案について続報を発表。攻撃者は4月2日にCAMPFIRE社のシステム管理用GitHubアカウントへ不正アクセスし、その後4月21日に顧客情報管理データベースへの侵入が確認された。漏えいの可能性がある情報は最大225,846件で、氏名・住所・電話番号・メールアドレスに加え、一部ユーザーには銀行口座情報も含まれる。クレジットカード情報は対象外と確認されている。
影響範囲は3グループに分かれ、プロジェクトオーナー・コミュニティオーナー約12.1万人(うち約6.6万人に口座情報含む)、PayPal・Kondo支払いまたは口座振替を利用したサポーター約13万人(うち約1.6万人に口座情報含む)、登録パートナーが対象となる。同社は4月28日10時から専用問い合わせ窓口を開設し、対象ユーザーへの個別通知と再発防止策の検討を進めている。事案の発端が「GitHubアカウントの不正アクセス」であった点は、ソースコード管理リポジトリへのアクセス管理がそのまま顧客情報の保護水準を左右することを示している。
中小企業への影響
GitHubやGitLabなどの開発資産管理リポジトリは、ソースコードだけでなく接続情報(DB認証情報・APIキーなど)が含まれることが多く、ここを起点にした攻撃が増加している。Webサービス・ECサイト・社内システムを内製または外注している中小企業は、開発系SaaSのアクセス管理を「IT部門の問題」ではなく「顧客情報保護の最上流」として捉え直す必要がある。今回のように銀行口座情報が漏えいした場合は、不正送金・なりすまし詐欺の二次被害リスクが高い。
推奨対応
- GitHub・GitLab等の組織アカウントに対しSSO・MFA・IPアドレス制限を必ず設定する
- ソースコード内に直接記載された認証情報(クレデンシャル)を全ファイル走査し、Secret Managerに移行する
- 外部の開発委託先がアクセスする開発リポジトリの権限は「最小権限の原則」で月次レビューする
- 顧客の銀行口座情報を保有する場合、暗号化保存を義務化し、復号鍵はDBサーバとは別の場所で管理する
編集部まとめ
4月後半に表面化した3件のインシデントは、いずれも「自社の外」で発生した攻撃が、自社の顧客情報を流出させる構造を持つ。サプライチェーン型ランサムウェア(YCC)、業界特化SaaSへの集中攻撃(いえらぶ)、開発資産経由の侵入(CAMPFIRE)――これらは中小企業が単独で完全に防ぐことは難しい。委託先・SaaS・開発リポジトリへの「外部依存マップ」を作り、それぞれに最低限のセキュリティ要件と契約条項を設定することが、ゴールデンウィーク前後の長期休暇に向けた最優先タスクになる。
