【セキュリティニュース】2026年4月18日号|山形市委託先YCCに攻撃で50万件漏えい恐れ・新エフエイコムがランサム被害・警察庁2025年226件高止まり

本日は3本のニュースを取り上げます。山形市は委託先の株式会社YCC情報システムがランサムウェア攻撃を受け、市民の健康情報など最大約50万件・マイナンバーを含む6,000件以上が漏えいの恐れと4月16日に公表しました。工場自動化機器を開発する新エフエイコムも4月10日にランサムウェア被害を公表し、社内ネットワークを遮断しました。警察庁が3月に発表した2025年のランサムウェア被害報告226件のうち、中小企業は143件で全体の6割を占めています。「委託先」「製造業」「中小企業」という、まさに中小企業が直面しているリスクが3本に集中しました。

NEWS 01
山形市/株式会社YCC情報システム | 2026年4月16日公表

山形市、委託先YCC情報システムへのランサム攻撃で最大約51万件の個人情報漏えいの恐れ——健康診断データ・マイナンバーも対象

山形市は2026年4月16日、システムの構築・運用を委託していた株式会社YCC情報システム(山形市)がランサムウェアによるサイバー攻撃を受け、市が保有する個人情報について漏えいのおそれがあると公表しました。YCC情報システムのファイルサーバーが攻撃を受けたのは2026年4月2日早朝で、4月15日までの調査で山形市関連データへの影響が判明しました。

漏えいの可能性がある主な情報は、健康情報システム(2002年〜2025年分)の氏名・電話番号・保険者番号など約50万件、人事給与システム(2018〜2019年度分)のマイナンバー・生年月日・給料・手当等の情報約6,000件、別の健康情報システム(2012年6月時点の受診年月日等)約1,800件、児童相談システム(2023年7月時点)の生年月日等2,520件です。河北町・三川町・山形県のデータもYCC情報システム内に保管されており、影響範囲の調査が続いています。

YCC情報システムは第3報(2026年4月7日)でランサムウェアの種類を特定したとしていますが、セキュリティリスクの観点から詳細な攻撃者名・身代金要求状況は公表していません。侵入経路は2026年4月16日時点で特定されていません。

▌中小企業への影響

中小企業にとってこの事案が示しているのは「委託先経由の漏えいが自社の個人情報管理責任として問われる」という構図です。健康診断・給与計算・労務管理・顧客管理をクラウドや情報処理ベンダーに外部委託している場合、自社のセキュリティ対策が十分でも委託先が攻撃されれば従業員・顧客データは漏えいします。マイナンバーを含む情報が漏えいした場合、個人情報保護委員会への報告義務(3〜5日以内の速報、30日以内の確報)が発生し、対応の遅れは監督官庁からの指導対象になります。

▌推奨対応
  • 業務委託先・SaaS・クラウドサービスの一覧を作成し、それぞれに預けている個人情報の範囲・保管期間を棚卸しする
  • 委託先との契約書に「セキュリティ事案発生時の報告義務」「定期的なセキュリティ報告」が盛り込まれているか確認する
  • 委託先のセキュリティ対策状況(バックアップ・脆弱性管理・多要素認証)を年1回はヒアリングで確認する
  • マイナンバーを預けている委託先については、委託内容と取扱い方法を改めて確認する(マイナンバー法に基づく監督義務)
  • 委託先で事案が発生した場合の、自社から顧客・従業員への通知フローをあらかじめ整理しておく

NEWS 02
新エフエイコム/Security NEXT | 2026年4月14日報道

FA機器開発の新エフエイコム、4月10日にランサムウェア被害——社内ネットワーク遮断で対応、個人情報影響は調査中

工場や物流現場の自動化設備(FA: Factory Automation)やロボットシステムの開発を手がける新エフエイコムは、2026年4月10日未明にランサムウェアを用いたサイバー攻撃を受けたことを公表しました。被害拡大防止のため、社内ネットワークを遮断するなどの措置が取られています。

2026年4月14日時点では、個人情報流出の有無も含めた被害範囲・攻撃経路について調査中とされています。復旧作業も同時並行で進められていますが、詳細な影響範囲の特定にはなお時間を要する見込みです。

FA・ロボット分野は製造業のデジタル化を下支えする領域であり、顧客である製造業者の設計情報・ライン構成情報・設備運用データを預かる立場にあります。こうしたデータが流出した場合、委託元の製造業者の事業機密が漏えいする可能性もあります。

▌中小企業への影響

製造業の中小企業、特にOT(運用技術)・IoT機器を扱う事業者は同種の攻撃を受けるリスクが高まっています。警察庁の2025年統計でも、業種別ではランサムウェア被害の約4割を製造業が占めています。また、自社が取引先にFA機器・設備を納入している場合、自社システムが被害を受けることで取引先の生産ライン停止・設計情報漏えいを招く可能性があります。被害が発生した場合の「ネットワーク遮断」は新エフエイコムが実施したように極めて有効な初動措置で、事前に手順を整備しておく必要があります。

▌推奨対応
  • 事故時の「ネットワーク遮断手順書」を作成する(誰がどのスイッチ・VPN・Wi-Fiを切るか)
  • バックアップは「3-2-1」ルール(3世代・2媒体・1つはオフライン)で保管し、定期的に復元テストを行う
  • VPN機器・リモートデスクトップ機器のファームウェア・認証情報を棚卸しし、最新化と多要素認証の有効化を行う
  • 取引先に納入する設備・ソフトウェアに含まれる情報を棚卸しし、不要な機密情報を取り除く
  • ランサム被害を想定した机上演習(30分程度でも可)を四半期に1回実施し、連絡体制を確認する

NEWS 03
警察庁/毎日新聞・ScanNetSecurity | 2026年3月12日発表

2025年のランサムウェア被害は226件で高止まり——中小企業が6割、製造業が4割、復旧費用1,000万円超が過半

警察庁は2026年3月12日、2025年のサイバー犯罪情勢をまとめ、ランサムウェアによる被害報告が226件に上ったと発表しました。過去最多であった2022年の230件に次ぐ2番目の高水準で、前年(2024年)とほぼ同水準の高止まりが続いていることが確認されました。

企業規模別では、中小企業が143件で全体の約6割(63%)を占め、大企業は64件(28%)、団体等は19件(8%)でした。業種別では製造業が約4割(約90件)と最も多く、卸売・小売、サービス、情報通信と続いています。地域別では都内の被害が68件と過去最多を記録しました(ScanNetSecurity報道)。

復旧費用については、有効回答89件のうち46件(52%)が調査・復旧に1,000万円以上を要し、5件では1億円以上を要したと回答しています。手口面では、VPN機器からの侵入が約6割、データを窃取して公開を脅迫する「二重恐喝型」が約9割を占めており、攻撃パターンの高度化は継続中です。

2025年ランサムウェア被害のプロファイル(警察庁・概数)

区分 件数・割合 中小企業への含意
全国の被害報告 226件 高止まりが継続、過去2番目
中小企業の被害 143件(約6割) 「大企業だけが狙われる」は誤り
製造業の被害 約9割(業種別4割) 工場停止リスクを想定した対策が必須
復旧費用1,000万円以上 46件(有効回答の52%) 身代金を払わなくても復旧に巨額
VPN機器からの侵入 約6割 VPN管理の不徹底が主要原因
二重恐喝型攻撃 約9割 バックアップがあっても情報漏えいは発生
▌中小企業への影響

警察庁の数字は「ランサムウェアは大企業の話」という認識を明確に否定しています。被害の6割は中小企業で、復旧費用は半数以上で1,000万円を超えます。特にVPN機器からの侵入が6割を占めている点は、ここ数年変わらない傾向で、古いファームウェア・弱いパスワード・多要素認証の未設定が主要な侵入口になっていることを示しています。二重恐喝型が9割を占める現状では、バックアップがあっても情報流出リスクは残るため、「発生確率を下げる予防策」と「発生時の被害を抑える情報管理」の両輪が必要です。

▌推奨対応
  • 使用中のVPN機器(FortiGate、Pulse Secure、SonicWall等)のメーカー・モデル・ファームウェアバージョンを棚卸しし、既知の脆弱性(CVE)情報を確認する
  • VPN・リモートアクセスの認証に多要素認証(MFA)が有効になっているか確認する
  • VPN・管理アカウントのパスワードを複雑化し、使い回しをなくす(パスワード管理ツール活用)
  • 侵入検知・EDR(エンドポイント検知対応)製品の導入を検討する(1端末あたり月額数百円〜の製品もある)
  • サイバー保険への加入を検討し、復旧費用・賠償責任への備えを確保する

編集部まとめ

本日の3本を貫くのは「中小企業こそ直撃する」というメッセージです。山形市の事案はITベンダー・委託先経由の漏えいが自治体や委託元にどう波及するかを示し、新エフエイコムの事案は製造業・FA分野の中小事業者が狙われる現実を、警察庁の統計は被害の6割が中小企業であることを数字で裏付けています。今週中に取り組むべきは、(1)委託先・SaaSの棚卸しと契約条項の確認、(2)VPN機器・多要素認証の設定状況の確認、(3)ランサムウェア被害を想定したネットワーク遮断・連絡体制の整備、の3点です。いずれも新しい製品を買う前にできる、事業継続性を守るための基本動作です。

参考情報

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です