今日のポイント:
上場メーカーはVPN経由サーバ侵害、生協での委託先ランサム被害、医薬品卸の復旧長期化の3件が相次ぎ公表。委託先を含む「間接的な被害経路」が今週も主役。自社だけでなく委託先のセキュリティ状況を今すぐ確認してほしい。

VPNに不正アクセス、サーバも侵害 — アルプスアルパイン

電子部品・音響機器メーカーのアルプスアルパイン（東証プライム上場）は2026年5月14日、VPNおよびサーバが外部から侵害されたことを公表した。2026年4月3日、社内システムの保守管理を委託している事業者から「外部VPNシステムに不正アクセスを受けた痕跡がある」との報告を受けて調査を開始。同月13日、社内サーバが実際に侵害されていたことが判明した。

流出した可能性があるのは、社内システムへのアクセスに使用するアカウント情報として登録されていた役員・現役従業員・退職者、および委託先企業の一部従業員に関するデータ。氏名、会社メールアドレス、役職、部門、ログインID、システムIDが含まれる。なお、パスワードは暗号化保管されており不正取得の事実は確認されていない。漏洩件数や侵入経路の詳細につうは外部協力のもと調査継続中。

ランサムウェアの関与や業務停止への言及はなく、侵害範囲は社内アカウント情報に絞られている模様。ただしログインIDとシステムIDが流出していた場合、二次的なフィッシング攻撃や認証情報の悪用リスクが残る。

委託先ランサム被害で組合員ら6千件超の個人情報流出の可能性 — コープいしかわ

生活協同組合コープいしかわ（石川県）は2026年5月14日、ギフトカタログオンラインショップの運営を委託している業者がランサムウェア攻撃を受け、組合員らの個人情報が流出した可能性があることを公表した。委託先で2026年4月10日にシステムの異常が検知され、調査の結果ランサムウェアによるサーバファイルの暗号化が確認された。

流出の可能性がある情報は、ギフトカタログオンラインショップを利用した組合員の氏名・住所・電話番号・注文履歴など1,756件と、注文の届け先情報4,264件（合計6,020件）。金融機関口座情報やクレジットカード情報、マイナンバーは対象外。外部への実際の流出は確認されていないものの流出のおそれがあるとして、同組合は4月17日に個人情報保護委員会へ報告。対象組合員へは個別に書面で連絡する予定としている。

委託先サーバの暗号化という典型的なサプライチェーン型ランサムウェア被害であり、コープいしかわ自体の主要システムへの影響は公表されていない。

ランサム攻撃でシステム障害が長期化 — 医薬品卸マルタケ

医薬品・医療機器の卸売りを手がけるマルタケ（北海道、創業1925年）は2026年4月28日にサイバー攻撃によるシステム障害を公表し、5月12日の第3報でランサムウェアによる障害と確定した。完全復旧には相当の時間を要する見込みとしており、一部業務への影響は継続中。

新潟・東北・関東エリアの医療機関・薬局への医薬品供給につうは代替手段を講じて対応しているとしており、患者への直接影響は最小化されているとみられる。現時点で個人情報の外部流出は確認されていないとしており、引き続き関係当局と連携しながら調査を進めている。

医療・ヘルスケア領域を支えるサプライチェーンへのランサムウェア攻撃は国内外で増加傾向にある。医薬品卸のシステムが長期間停止すると、医療機関の発注・在庫管理に影響が出るため、間接的な医療サービスの低下につながるリスクもある。

編集部まとめ

今週は「委託先経由の被害」が2件、「長期障害」が1件。自社のセキュリティ対策が整っていても、委託先が侵害されれば顧客情報は流出する。発注企業として委託先のセキュリティ要件を契約に盛り込む、VPNのMFAを有効化する、オフラインバックアップを確保する——この3点が今週確認すべき最低ラインだ。

参考情報

• Security NEXT: VPNに不正アクセス、サーバも侵害被害 - アルプスアルパイン（2026年5月14日）
• Security NEXT: 委託先がランサム被害、サーバ内部に組合員の個人情報 - コープいしかわ（2026年5月14日）
• Security NEXT: ランサム攻撃でシステム障害、一部業務に影響 - 医薬品卸（2026年5月12日）
• アルプスアルパイン 公式サイト
• 生活協同組合コープいしかわ 公式サイト
• マルタケ 公式サイト