【インシデント速報】2026年5月3日|東京計器Chatwork不正アクセス・cPanel認証バイパス1.5M台悪用・IPA偽警告相談1.5倍
secure① 上場企業の従業員Chatworkがフィッシング起点で乗っ取られ、ビジネスチャット経由の偽指示リスクが顕在化。
② レンタルサーバ管理画面cPanel/WHMに認証バイパスの脆弱性、約2か月間ゼロデイで悪用継続・約150万台が露出。
③ IPA第1四半期相談で偽警告(サポート詐欺)が約1.5倍に拡大、業務PC感染経路として要注意。
東京計器(7721)|従業員のChatworkアカウントがフィッシング起点で侵害
公表日: 2026年4月27日 / 業種: 舶用・防衛・宇宙機器メーカー(東証プライム) / 影響: 従業員Chatworkアカウント、影響範囲は調査中
舶用機器・防衛機器・宇宙機器を手がける東京計器は2026年4月27日、従業員が業務利用しているビジネスチャット「Chatwork」のアカウントが第三者に不正アクセスされたことを公表した。原因はURLや添付ファイルを含むフィッシングメールによる認証情報の窃取とみられる。
判明後、当該アカウントの無効化・利用停止、セキュリティ強化を即時実施した。影響範囲と窃取された情報の詳細は調査中で、同社は「事前連絡なくChatwork上でコンタクト申請を行うことはない」とし、取引先への注意喚起も発出している。
2026年に入ってからChatworkを狙ったフィッシング起点の侵入は、ECOMMIT(4月公表)、ユタカ電業(3月発覚・4月最終報)と公表事案が相次いでおり、東京計器も同じ系統の攻撃にさらされた格好だ。実在の役職者になりすまして取引先へ偽の送金指示を送りつける手口(4月にはビジネスチャット経由の指示で9,600万円が誤送金された別事例も発生)と組み合わさっており、攻撃のコストパフォーマンスが極めて高い。
中小企業への影響
Chatwork、Slack、Teamsといったビジネスチャットは、メールよりも信頼度が高いと従業員に受け取られやすい。一度アカウントを乗っ取られると、「社長から至急の振込指示」「経理担当者から請求書の差し替え依頼」といった偽メッセージが本物のスレッドの中に紛れ込み、従来の請求書詐欺より発見が著しく難しい。フィッシングメール1通で実害が数千万円規模に直結する典型的な攻撃経路になっている。
推奨対応
- Chatwork・Slack・Teamsなど業務チャットの全アカウントに多要素認証(MFA)を強制適用する。管理者画面で「MFA未設定ユーザー」を一覧化し、未対応者にはログインを許可しない設定が望ましい
- 「チャットでの送金・口座変更指示は必ず電話で再確認」というルールを社内に明文化し、経理・購買部門で運用する
- 外部からの突然のコンタクト申請を受け取った際の確認手順(送信元の所属確認・社内Slackで本人照会)を周知する
- 過去90日のサインインログを点検し、海外IPやVPN経由の不審ログインがないか確認する
cPanel/WHM 認証バイパス CVE-2026-41940|約150万台がインターネットに露出、2か月以上ゼロデイで悪用
公表日: 2026年4月28日(緊急パッチ公開) / 対象: cPanel & WHM/WP Squared(バージョン11.40以降全て) / CVSS: 9.8(Critical)
レンタルサーバ管理ツールとして世界中のホスティング事業者が採用するcPanel/WHMに、認証を完全にバイパスできる脆弱性CVE-2026-41940(CVSS 9.8)が見つかり、開発元のWebPros(cPanel社)は2026年4月28日に緊急パッチを公開した。攻撃者はCRLFインジェクションでセッション書き込み処理に細工をし、不正なCookieで暗号化処理をスキップさせ、最終的に管理者権限の有効セッションを発行させる。
watchTowr Labsがテクニカル分析とPoC(実証コード)を公開済みで、ホスティング事業者KnownHostの観測では2026年2月23日ごろから既に実環境で悪用が始まっていた。すなわち、パッチ公開時点で約2か月間のゼロデイ状態が続いていたことになる。Shodanテレメトリでは約150万台のcPanelインスタンスがインターネットに露出している。CISAも本脆弱性を「悪用が確認された脆弱性カタログ(KEV)」へ追加し、緊急パッチ適用を呼び掛けた。NamecheapやInMotion Hostingなど大手ホスティング事業者は、ポート2083/2087を一時遮断する応急対応を取った。
悪用に成功すれば、cPanel管理対象のすべてのWebサイト・データベース・メール設定・SSL証明書を攻撃者が掌握できる。共用ホスティング環境では1台の侵害が数百〜数千サイトの一斉改ざん・情報窃取に直結する。
中小企業への影響
自社のWebサイトを共用レンタルサーバで運用している企業は、契約しているホスティング事業者がcPanelを採用している場合、自社のドメイン管理画面・メール設定・データベースが攻撃者に閲覧可能な状態になっていた可能性がある。問い合わせフォーム経由で送信されたお客様情報、CMSの管理者パスワード、SMTP認証情報がそのまま窃取対象だ。GW期間中に攻撃者が活動を活発化させる傾向にあり、連休明けに改ざん発覚といった事態が起きやすい。
推奨対応
- レンタルサーバ事業者に問い合わせ、cPanel/WHMのパッチ適用が完了したかを確認する(業者によっては自動適用済み)
- cPanel管理画面の「アクセスログ」「直近ログイン履歴」を確認し、見覚えのないIPアドレスからの管理者ログインがないかチェックする
- cPanel管理者パスワード、CMS(WordPress等)管理者パスワード、データベース接続情報を一斉に再発行する
- Webサイト側でWordPressや使用CMSの不審ファイル・新規追加管理者アカウントの有無を確認する
- 長期休暇前後はサーバアクセスログの確認頻度を上げる
IPA 2026年第1四半期相談状況|「偽警告(サポート詐欺)」が前四半期比約1.5倍へ急増
公表日: 2026年4月(IPA公表) / 対象期間: 2026年1〜3月 / 影響: 偽警告相談1,154件(前四半期789件から約46.3%増)
独立行政法人情報処理推進機構(IPA)は2026年第1四半期(1〜3月)の情報セキュリティ安心相談窓口の相談状況を公表した。個人からの相談総件数は前四半期比約18.7%増。中でもPCに偽のセキュリティ警告画面を表示し、サポート窓口を装って金銭や端末を侵害する「偽警告(サポート詐欺)」の相談が1,154件にのぼり、前四半期の789件から約46.3%増、約1.5倍に拡大した。
2025年5月にサポート詐欺に関与した6人が逮捕された後、相談件数は一時的に減少したが、その後2四半期連続で増加し、相談全体に占める割合も再び大きくなっている。攻撃者は別グループへの世代交代を済ませ、活動を再開した形だ。手口は依然として、Webサイト閲覧中に突然「ウイルスを検出しました」と表示し、画面上の電話番号にかけるよう誘導してリモート接続ソフトを導入させ、有償サポート契約や電子マネーでの支払いを要求するというパターンが中心となっている。
中小企業への影響
従業員の業務PCで偽警告に遭遇した場合、リモート接続ソフトを介して社内ネットワーク全体に被害が広がる恐れがある。一度リモート操作を許してしまうと、業務システムへのログイン情報、共有ドライブのファイル、メール内の取引先情報が一気に窃取される。経営者本人や経理担当者の個人購入PC・自宅PCで起きた被害が、業務利用しているクラウドサービスの認証情報流出につながった事例も報告されている。
推奨対応
- 「画面に出た電話番号には絶対に電話しない」「警告音や警告画面が出てもブラウザを強制終了する(Windowsはタスクマネージャから、MacはCommand+Option+Esc)」を全従業員に周知する
- 業務PCにおけるAnyDesk・TeamViewer等のリモート接続ソフトのインストールを管理者権限で禁止する(企業契約のRMMツール以外)
- 「警告画面が出たらまず情シス(または上長)へ連絡」というエスカレーションルールを掲示する
- 家族・取引先の個人事業主からの相談窓口として、IPA安心相談窓口(03-5978-7509)の番号を案内できるようにしておく
編集部まとめ
連休直前から連休中にかけ、フィッシング・脆弱性悪用・偽警告という「人」「サーバ」「端末」を狙う3方向の攻撃が同時に観測された。共通する弱点はいずれも「気づくのが遅れる」ことであり、対策は派手な技術導入よりも、MFA徹底・パッチ確認・偽警告ルール周知という基本動作の頻度を上げることに尽きる。連休明け初日の社内点検として、ビジネスチャットのMFA未設定者一覧、Webサーバの管理画面ログイン履歴、業務PCにインストールされているリモート接続ソフトの3点を確認したい。
参考情報
- 東京計器(7721)、フィッシングによるChatworkへの不正アクセスを公表(セキュリティ対策Lab)
- ビジネスチャット上で役職員を装った不正な送金指示で9,600万円を振込(ScanNetSecurity)
- CVE-2026-41940 Detail(NVD)
- cPanel zero-day exploited for months before patch release(Help Net Security)
- cPanel & WHM Authentication Bypass CVE-2026-41940(watchTowr Labs)
- 2026年1Qのセキュリティ相談、「偽警告」相談が約1.5倍に(Security NEXT)
- 情報セキュリティ安心相談窓口の相談状況[2026年第1四半期](IPA)
- 2026年度ゴールデンウイークにおける情報セキュリティに関する注意喚起(IPA)
