【インシデント速報】2026年5月9日|北海道ガスLNG受発注システム296件・いえらぶCLOUD侵害続報・沖縄総合事務局FileZen1.5万件
secure業務系SaaS・委託先システム・ファイル転送サーバへの不正アクセスが立て続けに公表された。中小企業が真っ先に確認すべきは「自社で発行している取引先用アカウントの棚卸し」と「ID・パスワード以外の認証強化」。連休明けに各システム管理者へ点検指示を出してほしい。
1. 北海道ガス・北海道LNG|LNG受発注システムへの不正アクセス、取引先担当者ら296件流出のおそれ
北海道ガスと北海道LNGは2026年5月7日、両社が業務に利用していた「LNG受発注システム」のサーバへ外部から不正アクセスがあり、登録者の個人情報が外部へ流出した可能性があると公表した。痕跡が最初に確認されたのは2026年1月22日で、ログ調査の結果、漏えいの可能性がある対象者は取引先(法人)担当者と両社従業員あわせて296件にのぼる。
流出した可能性のある項目は、登録者の会社名・氏名・メールアドレス、およびシステムログイン用パスワード(暗号化されたもの)。両社は対象者283件に通知を完了済みで、残る13件は退職者・元担当者のため通知未完了。現時点で二次被害は確認されていないとしているが、対象者にはなりすましメール等への警戒を呼びかけている。
このシステムはLNG取引先(法人)と社内担当者の双方がログインして使う業務システムで、結果として法人アカウントと従業員アカウントが同居していたことになる。1月の侵害確認から公表まで3か月半かかっている点も、社内連絡・取引先対応の難しさを示している。
中小企業への影響
取引先と自社従業員が同じシステムにログインする「BtoB業務SaaS」は、中小企業にも多数存在する(受発注、見積、図面共有など)。アカウントの棚卸しを怠ると、退職した自社社員や担当替えになった取引先窓口のアカウントが残り続け、攻撃者の足場になる。北海道LNGのケースは「退職者通知未完了13件」が公表文に残ったことで、棚卸しの不徹底が外部に露呈した形だ。
推奨対応
- 取引先アカウント・自社従業員アカウントの両方について、最終ログイン日と退職・異動者リストを突き合わせ、休眠アカウントを停止する
- BtoB業務SaaSにIPアドレス制限・多要素認証を追加し、ID・パスワード単独でログインできない設計に切り替える
- 侵害痕跡が見つかった場合の社内報告ライン・取引先通知ライン・公表判断者を、平時のうちに文書化する
2. いえらぶCLOUD侵害続報|日本財託グループでも顧客情報流出のおそれ、不動産業界で被害報告は16社超
株式会社日本財託は4月17日、同社グループが賃貸仲介業務で利用しているクラウドサービス「いえらぶCLOUD」(株式会社いえらぶGROUP提供)への不正アクセスにより、グループで部屋探しをした顧客の個人情報が外部に流出した可能性があると公表した。事案は2026年4月5〜6日に発生し、5月8日付でScanNetSecurityなどが続報を伝えている。
日本財託の発表で注目されたのは「特定のクライアントアカウントを利用した不正アクセス」という説明で、いえらぶCLOUDに正規ログインできる不動産会社のアカウント情報が窃取され、そのアカウントを使ってデータが取得されたことを示している。インフォスティーラーマルウェアによる認証情報の窃取が侵入経路として有力視されている。
いえらぶCLOUDは全国17,000社以上の不動産会社が利用しており、ADワークスグループの子会社(4月10日公表)、Architect Developer(4月13日公表)に続き、5月7日時点で利用企業16社が影響を報告。LIFULL HOME'Sもユーザー個人情報流出のおそれを公表しており、不動産業界の取引データが横断的に侵害されている構図が明らかになった。
中小企業への影響
SaaS提供元ではなく、自社が利用する側のアカウントが盗まれた事案である点が重要。インフォスティーラー(Lumma、Redline等)はメールやChromeに保存された認証情報をまとめて抜き取り、ダークウェブで売買される。社員が自宅PCや私物端末で業務SaaSにログインしていた場合、企業アカウントが知らぬ間に売られ、いえらぶCLOUDのように業界全体を巻き込む二次被害につながる。
推奨対応
- 業務SaaSへのログインに多要素認証(MFA)を必須化し、ID・パスワードだけでは入れない状態にする
- 業務SaaSへ私物端末・家庭ネットワークからアクセスさせない(または条件付きアクセスでデバイス制限)
- SaaS事業者から侵害通知を受け取れる連絡先(情報システム担当のメール)を契約書・SaaS設定で明示する
- 従業員にChromeのパスワード保存を業務アカウントで使わせず、社内承認のパスワードマネージャーへ集約する
3. 沖縄総合事務局|ファイル転送サーバ「FileZen」への不正アクセスで1万5,091人分流出のおそれ
内閣府沖縄総合事務局は2026年4月28日、同局が利用していた大容量ファイル転送サービス「FileZen」専用サーバへ2026年1月に不正アクセスがあり、1万5,091人分の個人情報が外部に流出した可能性があると発表した。
漏えいのおそれがある情報は、羽地大川土地改良区(名護市・今帰仁村)の土地原簿4,930人分、港湾関係の定時総会資料695人分などで、氏名や住所のほか、生年月日・電話番号・学歴を含む外部講師の経歴書3人分も対象に含まれる。さらに2024年3月〜2025年11月に同事務局が開いたセミナー等の参加者名簿と会場写真8,549人分も流出した可能性があるという。
事務局は連絡先が確認できる人へ順次通知し、文書で謝罪。対象者には不審な電話・メールへの注意を呼びかけている。FileZenはこれまでも複数の組織で侵害事例が報告されてきた製品で、ファイル転送サーバを通じて行政・取引先の機微情報がまとめて漏れる典型的な構図と言える。
中小企業への影響
取引先や行政機関と大容量ファイルをやり取りする際に使うファイル転送サーバ・大容量ファイル便は、機微情報が一時保管されるため攻撃者が狙う場所だ。「うちは行政相手のデータは扱っていない」と思っていても、提案書・図面・名簿などが転送サーバ経由で流出する可能性は残る。
推奨対応
- 社内で利用しているファイル転送サーバ・大容量ファイル便のベンダ・バージョンを棚卸しする
- 提供元の脆弱性情報を購読し、パッチ適用までの期限(例:公開から72時間以内)を社内ルールに明文化する
- 転送サーバには保存期限(最大7日など)を設定し、終了後は自動削除する設計に切り替える
- 機微度の高いデータは転送サーバではなく、暗号化+ワンタイムリンクで送る運用へ移行する
編集部まとめ
3件に共通するのは「サーバ自体は守られていたが、正規のアカウントが入口になった」点である。多要素認証の有無、休眠アカウントの放置、ファイル転送サーバの保存期限——いずれも中小企業ですぐ着手できる対策ばかりだ。連休明けの今週中にアカウント棚卸しと業務SaaSのMFA有効化を、最低限のチェックリストとしてまわしてほしい。
