【インシデント速報】2026年5月6日|デンソー海外ランサム・CAMPFIRE 22.5万件漏洩・青森中央病院 内部不正

2026年5月25日 最終更新日時 : 2026年5月25日 secure

2026年5月6日(水)速報

デンソーがイタリア・モロッコの海外2拠点でランサム被害を確認し、社外関係者情報の流出可能性を公表。クラウドファンディング大手CAMPFIREはGitHubアカウント侵害により最大22万5,846件の個人情報・口座情報の漏洩可能性(4月当初発表から約500倍に拡大)。青森県立中央病院では非常勤女性職員が知人患者の電子カルテを不正閲覧し、停職3カ月の懲戒処分。「海外子会社」「開発リソース」「内部の人」という3つの典型的な弱点を改めて示す事例です。

本日のインシデント

ランサムウェア・サプライチェーン

1. デンソー、海外2拠点(イタリア・モロッコ)でランサム被害|社外関係者情報の流出可能性

把握日
2026年3月28日(公表:2026年4月30日 Security NEXT報道)
被害組織
株式会社デンソー(自動車部品最大手)の海外グループ会社2拠点(イタリア・モロッコ)
攻撃手法
ランサムウェア(身代金要求型コンピューターウイルス)感染
影響範囲
社外関係者およびデンソーに関する情報の一部が第三者に窃取された可能性。生産・顧客への製品納入に大きな影響なし
過去の被害
2021年メキシコ工場、2022年ドイツ拠点に続く海外3度目のサイバー攻撃被害

被害の詳細

デンソーは2026年3月28日、海外グループ会社のイタリアおよびモロッコ拠点においてネットワークが第三者に侵害され、ランサムウェアの動きを確認したと発表した。社外関係者やデンソー本体に関する情報の一部が抜き取られた可能性があるが、生産や製品納入への大きな影響は確認されていない。同社はこれまで2021年にメキシコ工場、2022年にドイツ拠点でも被害を受けており、海外拠点経由のサプライチェーン攻撃を繰り返し受けている。

中小企業への影響・教訓

  • 大手の海外子会社・関連会社が攻撃の足がかりにされるパターンは、取引先である国内中小企業にも被害が波及するサプライチェーン攻撃の典型例。
  • 海外取引先と業務データ(受発注・図面・人事・取引先情報)をやり取りしている中小企業は、相手側の侵害が自社のデータ流出に直結する。
  • 本社のセキュリティ対策が強くても、海外拠点・子会社・委託先のセキュリティが弱ければそこから侵入される。

推奨対応

  • 海外拠点・委託先・取引先と接続しているVPN・専用線・ファイル共有のアカウント棚卸しを実施し、退職者や元委託先のアカウントを停止する
  • 取引先からのファイル受領経路(メール添付・クラウド共有・FTP)にウイルススキャンと振る舞い検知を導入する
  • 取引先のセキュリティ事故を想定した「取引先IR連絡フロー」を策定する(事故時の連絡先・対応窓口を契約書に明記)
  • 取引先との重要なやり取りはアクセスログを取得し、異常検知できる状態にする

不正アクセス・個人情報漏洩

2. CAMPFIRE、GitHub不正アクセスで最大22万5,846件の個人情報漏洩可能性|口座情報も含む

不正アクセス日
2026年4月2日 22時50分頃
公表日
2026年4月24日(最終発表)。当初発表は4月3日
被害組織
株式会社CAMPFIRE(クラウドファンディング国内最大手)
侵害経路
システム管理用のGitHubアカウントが第三者により不正アクセス、データベースへの内部処理痕跡を確認
漏洩可能性件数
最大225,846件(プロジェクト実行者約120,929件・支援者約130,155件・登録ユーザー氏名1,282件)。うち口座情報を含むのは82,465件
漏洩内容
氏名・住所・電話番号・メールアドレス・口座情報(クレジットカード情報は含まれない)

被害の詳細

CAMPFIREは2026年4月24日、システム管理用に利用しているGitHubアカウントが4月2日深夜に不正アクセスを受け、同社の顧客情報管理システムに対して外部からアクセスが行われ、内部処理が実行された痕跡が見つかったと公表した。漏洩可能性件数は当初発表(4月3日)から約500倍以上に拡大した。対象者は、プロジェクト実行者・支援者・登録ユーザーの氏名・住所・電話番号に加え、入金・支払い用の口座情報も含まれる(82,465件)。同社は4月24日から対象者へお詫びメールの送付を開始し、4月28日10時より専用相談窓口を設置してえる。

中小企業への影響・教訓

  • ソースコード管理(GitHub・GitLab)のアカウント侵害は、ソースコード流出だけでなく、リポジトリ内のシークレット・APIキー・接続情報経由で本番DBへ侵入される起点になる。
  • 調査が進むほど被害規模が拡大するパターン(500倍)は、初動の調査範囲が狭いと見落とすことを示してえる。第三者によるフォレンジック調査が必須。
  • 口座情報や個人情報を持つDBへ「開発リポジトリ経由」で到達できる構成は、本番系と開発系の境界設計(ネットワーク・認証)の見直しが必要。

推奨対応

  • GitHub・GitLab・Bitbucketの組織アカウントすべてに多要素認証(MFA)を必須化する
  • 個人アクセストークン(PAT)の有効期限を90日以内に短縮し、定期棚卸しと不要なトークンの即時失効を実施する
  • リポジトリ内のシークレット(APIキー・DB接続情報・SSHキー)を全件スキャンし、Secret Manager等の専用基盤べ���(c8�fx�� �O��H�[OH�X\��[�X���N� Lȏ��+9�j������+9�j�Tx�n8�#:e���n�����k�*�z*/9��yh,x�#x�i�b,:`e8�i��cx�j��a8�8�a�� y�+9�j��#�e���n��k���x�����8�����8�����*�z*/9h���c8हb!�f��fx�� �O��O��]X��k���������x�;�"]Y]���"xऔ�QSK���x�9g���8�j�.�` x�e�� y��q夜帯のログイン・トークン作成・リポジトリ操作を異常検知する

内部不正・特権アクセス

3. 青森県立中央病院、非常勤職員が電子カルテで知人患者を不正閲覧|停職3カ月の懲戒処分

処分公表日
2026年4月30日
被害組織
青森県立中央病院(青森県)
不正行為日
2025年11月(同月内に2回にわたり閲覧)
処分対象
40歳の非常勤女性職員(診療事務補助、停職3カ月の懲戒処分)
不正内容
業務外で知人である患者の電子カルテを不正閲覧、入院の事実・病名等を自身の親族に漏洩
発覚経緯
2026年2月に当該患者から「職員から個人情報が漏れている」との相談で発覚

被害の詳細

青森県は2026年4月30日付けで、青森県立中央病院に勤務する40歳の非常勤女性職員を停職3カ月の懲戒処分とした。同職員は2025年11月、業務上関係のない知人である患者の電子カルテを2回にわたり開き、入院の事実・病名などを不正に閲覧。さらにその情報を自身の親族に漏らしていた。2026年2月、患者本人から「職員から自分の個人情報が漏れているのではないか」との相談があり調査の結果、不正閲覧の事実が確認された。県は地方公務員法違反・公務員の信用失墜行為に該当すると判断した。

中小企業への影響・教訓

  • 外部攻撃の対策に注目が集まりがちだが、最も発覚しにくいのは「権限を持つ内部者による業務外閲覧」。アクセスログを取っていても、定期的に異常閲覧を見つけに行く運用がないと検知できない。
  • 非常勤・派遣・委託先など雇用形態にかかわらず、業務システムへのアクセス権を持つ全員が対象になる。雇用形態ごとに権限差をつけているか要確認。
  • 顧客や患者からの「私の情報が漏れているかも」という相談は、内部不正発覚の数少ない端緒。受け付け窓口と調査フローを事前に整備しておく必要がある。

推奨対応

  • 業務システム(顧客DB・カルテ・人事・経理)のアクセスログを取得し、月次で「業務範囲外のアクセス」を抽出するルールを作る(同一姓名・同一住所・同一電話番号での絞り込み等)
  • 権限は「最小権限の原則」で付与し、退職・異動・委託終了時に即日失効させる運用を徹底する
  • 非常勤・派遣・委託先にも個人情報取扱い誓約書(罰則条項含む)を雇用契約・委託契約とセットで締結する
  • 顧客・患者からの「情報漏洩疑念」の相談窓口を設置し、社内調査フロー(ログ調査・本人ヒアリング・処分決定)を文書化する
  • 個人情報を含む画面の閲覧時にユーザー名・閲覧者IDが画面上に常時表示される「自己抑止表示」機能を導入する

編集部まとめ

本日の3件は、攻撃経路がそれぞれ「海外子会社」「開発リソース(GitHub)」「内部の人」と異なる典型的な弱点を示している。中小企業の対策で見落とされがちなのは、(1)取引先・委託先・海外関係会社の境界、(2)ソースコード管理アカウントとシークレット管理、(3)内部者による業務外アクセス監査の3つだ。本社のEDR・MFA・WAFを整備しても、この3つに穴があれば突破される。GW明けのこの時期、自社の「外部攻撃以外」の盲点を一度点検しておきたい。

カテゴリー
企業インシデント

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

前の記事
【セキュリティニュース】2026年5月2日号|沖縄総合事務局のFileZenに不正アクセスで最大1.5万人分流出可能性・アルプスアルパインの外部VPN経由不正アクセス・日本郵船の船舶燃料調達システム不正アクセス
2026年5月25日
次の記事
【セキュリティニュース】2026年5月25日号|Microsoft 5月パッチ118件・Apex One脆弱性が実攻撃に悪用・エネサンスHD 36.5万件漏えい確定・CAMPFIRE 22.5万人分漏えい
2026年5月25日