日本を揺るがした最近のセキュリティインシデントまとめ - BeReal炎上からアスクル・マネーフォワードまで(2025-2026)
はじめに
2025年後半から2026年5月にかけて、日本ではセキュリティインシデントが質・量ともに過去最悪レベルに到達しました。警察庁の集計によると、2025年のランサムウェア被害は 226件(過去最多)、フィッシング報告は 245万件超、ネットバンキング不正送金被害は 約103.97億円(過去最悪) と、どれもが過去最高水準を更新しています(nippon.com、東京新聞)。
特徴的なのは、「サイバー攻撃」と「人為的事故(特にSNS)」が同時並行で多発していることです。本記事では、社会的インパクトが大きかった10件を「サイバー攻撃系」と「人的・SNS系」に分けて時系列で整理します。
本記事は 2026年5月2日時点 の公開情報に基づきます。被害件数や原因は事後調査で更新される場合があります。
全体像 - 一覧表
| # | 発生時期 | インシデント | 種別 | 被害規模 |
|---|---|---|---|---|
| 1 | 2025/10〜 | アスクル ランサムウェア攻撃 | ランサムウェア | 約74万件+特別損失52億円 |
| 2 | 2026/4 | YCC情報システム経由 山形市など51万件流出 | 委託先攻撃 | 約51万件 |
| 3 | 2026/4 | CAMPFIRE GitHub不正アクセス | GitHub経由 | 最大22.6万件 |
| 4 | 2026/5 | マネーフォワード GitHub不正アクセス | GitHub経由 | 370件+ソースコード |
| 5 | 2026/4-5 | 市立奈良病院 サイバー攻撃疑い | 医療機関 | 診療業務に影響 |
| 6 | 2026/4 | ホソカワミクロン マイナンバー漏洩 | 不正アクセス | 1,728件(マイナンバー含む) |
| 7 | 2026/4 | 西日本シティ銀行 BeReal炎上 | SNS人的事故 | 顧客7名の氏名 |
| 8 | 2026/4 | 日テレ「ZIP!」新人スタッフのSNS漏洩 | SNS人的事故 | シフト表・入館証 |
| 9 | 2026/4 | 三菱電機住環境システムズ Instagram漏洩 | SNS人的事故 | 機密保持誓約書 |
| 10 | 2026/4 | NTT東日本/川崎市役所など 新入社員SNS漏洩多発 | SNS人的事故 | 社内資料・シフト表 |
【サイバー攻撃系】
1. アスクル ランサムウェア攻撃 - サプライチェーンを停めた最大級のインシデント
2025年10月19日、オフィス通販大手の アスクル がランサムウェアグループ「RansomHouse」によるサイバー攻撃を受け、物流システムが全面停止しました。法人EC「ASKUL」と消費者向けEC「LOHACO」の出荷が長期間ストップし、無印良品(良品計画)など委託先の出荷まで巻き込む サプライチェーン障害 に発展しています(ロジスティクス・物流業界ニュースマガジン、ネットショップ担当者フォーラム)。
- 侵入経路:委託先の管理者アカウントの認証情報悪用。MFA(多要素認証)が未設定だったことが致命傷
- 被害:約74万件の顧客・従業員情報が漏洩
- 金銭面:特別損失52億1600万円 を計上(日経クロステック)
- 復旧:当日配送サービスが2026年2月13日にようやく再開、主要EC機能が障害発生前の水準に到達したのは半年後
「MFA1つあれば防げた可能性が高い」事案で、その後の国内エンタープライズの委託先管理ガイドラインに大きく影響を与えました。
2. YCC情報システム経由 - 山形市など51万件流出
2026年4月2日、山形県のSI企業 YCC情報システム がサイバー攻撃を受け、委託元の山形市を含む複数自治体・民間企業の個人情報が漏洩した可能性があることが4月16日に公表されました(山形市公式、News Everyday)。
| システム | 件数 | 主な情報 |
|---|---|---|
| 健康情報システム(2002〜2025年) | 約50万件 | 氏名、住所、電話番号、保険者番号、検診年月日 |
| 人事給与システム(2018〜2019年度) | 約6,000件 | 氏名、生年月日、マイナンバー、給料、手当 |
| 児童相談システム(2023年7月時点) | 約2,520件 | 児童相談に関する情報 |
影響は山形市にとどまらず、庄内町・金山町・小国町・三川町・河北町、さらに埼玉県幸手市、山交バスや山形新聞などの民間企業まで波及。「地方SIベンダー1社が落ちると地域全体が落ちる」 という構造的なリスクを浮き彫りにした事案です。
3. CAMPFIRE GitHub不正アクセス - 22.6万件、口座情報も含む
2026年4月2日22時50分頃、クラウドファンディング大手の CAMPFIRE のシステム管理用GitHubアカウントに不正アクセスがあり、最大 22万5,846人分 の個人情報が漏洩した可能性があることが4月24日に公表されました(ITmedia NEWS、Security NEXT)。
- 漏洩可能性のある情報:氏名、住所、電話番号、メールアドレス、口座情報(8万2,465件)
- クレジットカード情報は含まれず
- 4月3日に検知 → 4月21日にデータベースアクセスを確認 → 4月24日詳細公表 → 4月28日に専用窓口開設
CAMPFIREは公表から わずか3週間で専用フリーダイヤル窓口を土日祝対応で開設するなど、対応のスピード自体は評価されています。一方で、「GitHubのリポジトリ経由でDBに到達された」事実は、後述するマネーフォワードと同じ構造の事故です。
4. マネーフォワード GitHub不正アクセス(2026年5月1日 公表)
2026年5月1日、家計簿・会計ソフトの マネーフォワード がGitHubアカウントへの不正アクセスを公表しました(マネーフォワード公式)。
- 原因:ソフトウェア開発・システム管理に使用していたGitHubの 認証情報が漏えい
- 被害:GitHub内のリポジトリがコピーされた
- 個人情報:マネーフォワードケッサイ提供の「マネーフォワード ビジネスカード」370件について、カード保持者名(アルファベット)とカード番号下4桁が流出
- カード番号全桁・有効期限・CVVは流出していない
- 銀行口座連携機能を一時停止し、確認後に順次再開
CAMPFIREと併せて見ると、「GitHubアカウントが裏口になる」 パターンが2026年4月〜5月で立て続けに発生しています。前述のOpenClaw(旧Clawdbot)記事でも触れた通り、サプライチェーン側のSaaSアカウントが今もっとも危険な侵入口 であることを改めて示しました。
5. 市立奈良病院 サイバー攻撃疑い(2026年4-5月)
2026年4月21日夜、市立奈良病院 のネットワーク監視装置が外部からの攻撃と推測される異常通信を検知し、電子カルテを切り離して全端末の安全確認を実施しました(毎日新聞、ScanNetSecurity)。
- 4月30日時点で 診療報酬・マイナンバーカード関連システムの復旧未完了
- ウイルス/ランサムウェアの痕跡は確認されていない
- 市長:「現時点でサイバー攻撃か否かを断定することは難しい」とコメント
- 第三者委員会を発足し原因究明中
近年、ランサムウェアの最重点ターゲットは医療機関になっており、半田病院(2021年)・大阪急性期総合医療センター(2022年)に続く形で、医療ITの脆弱性が再び問題提起されました。
6. ホソカワミクロン - マイナンバー含む1,728件
2026年4月、粉体機器大手の ホソカワミクロン への不正アクセスにより、1,728件の個人情報(マイナンバー含む)が漏えいしたことが公表されました(ScanNetSecurity)。
件数自体は中規模ですが、マイナンバー漏洩 は税務処理・社会保障番号としての影響が大きく、本人通知・再発行コストも高くつく類の事故です。製造業の海外拠点・サプライチェーン経由での侵入も2026年4月以降目立ちます(参考:山一電機のフィリピン拠点への攻撃など)。
【人的・SNS系】 - Z世代「ヤバすぎるSNS感覚」問題
2026年4月、入社直後の新入社員 によるSNS情報漏洩が日本中で立て続けに発生しました。複数業界・複数企業で同月に集中したのは過去にも例がない異常事態で、メディアからは「Z世代のSNS無自覚」とまで呼ばれています(zakzak)。
7. 西日本シティ銀行 BeReal炎上(2026年4月29-30日)
2026年4月29日、西日本シティ銀行 下関支店の女性行員が、リアルさが売りのSNS「BeReal」で支店内を撮影し投稿。Xで拡散して大炎上し、4月30日に銀行が謝罪しました(ITmedia NEWS、セキュリティ対策Lab)。
写り込んだ情報:
- 顧客7名の氏名(ホワイトボードに記載)
- 貸出金や預金残高などの業績目標数値
- 業務用PC画面・書類
BeRealは「1日1回ランダムに通知 → 2分以内に無加工で投稿」が仕様の 時間プレッシャーが強いSNS です。フィルタや加工ができず、通知に追われて背景確認を怠るケースが多発しています。
8. 日テレ「ZIP!」新人スタッフのSNS漏洩
2026年4月3日、日本テレビ朝の情報番組『ZIP!』の制作会社に入社したばかりの女性新入社員が、Instagramのストーリー に番組の内部資料を無断投稿し炎上しました(スポニチ、スポーツ報知)。
写り込んだ情報:
- 番組シフト表(水卜麻美アナ・Snow Man阿部亮平 など出演者スケジュール)
- スタッフ配置情報
- 氏名記載入りの日テレ入館証写真
- キャプション「芸能人沢山会えて話せてまじで楽しい」
日本テレビは4月1日に SNS情報漏えい禁止を盛り込んだ研修を実施したばかり で、福田博之社長は会見で「我々の対応が十分ではなかった」と認めました。研修直後のZ世代に研修が届いていない ことを示す象徴的な事例です。
9. 三菱電機住環境システムズ - 機密保持誓約書をInstagramに
2026年4月、三菱電機の子会社 三菱電機住環境システムズ の新入社員が、入社時に提出を求められた 機密保持誓約書と社員番号の入った書類 をInstagramのストーリーに「こんなん書かされたw」とコメント付きで投稿(abe-legal.jp、時事万象新聞)。
- ストーリーは24時間で消えるはずが、Xにスクリーンショット転載され 360万ビュー超の大炎上
- 書類には 本人フルネーム・所属部署 も記載
- 漏洩内容:機密保持誓約書、個人情報取扱に関する同意確認書、社員番号
「Storyだから消える」が完全に通用しない 時代であることが、改めて可視化されました。
10. NTT東日本・川崎市役所・岩見沢市立総合病院など - 多発する新入社員SNS漏洩
同時期、以下の事案も連鎖的に発生しています(abe-legal.jp、エノルメ、coki)。
| 組織 | 事案 |
|---|---|
| NTT東日本 | 社員がBeRealで撮影した写真にシフト表が写り込み |
| 川崎市役所 | 新規採用職員がLINEオープンチャットに研修資料を投稿。市長が「こんなことまで注意喚起をしなくてはならないのか」と苦言 |
| 岩見沢市立総合病院(2025年10月) | 職員が 患者20人分の名前・主治医・性別 が表示されたモニター画面を撮影投稿 |
| 大手通信会社 | 女性社員が常習的に社内システム資料・部署予定表・休暇情報を投稿 |
共通する構造的問題:
- 仕事・職場情報をSNS投稿したビジネスパーソンは 43.3%、一方でSNS研修を受けた人は わずか22.7%(isvd.or.jp)
- 「個人の問題」ではなく 「組織設計の失敗」 という指摘が広がっている
法的リスク(人的事故編)
営業秘密に該当する情報を漏えいさせた場合、不正競争防止法違反 となり、以下の罰則が科される可能性があります(abe-legal.jp)。
- 個人:10年以下の懲役 または 2,000万円以下の罰金
- 法人:5億円以下の罰金
「悪気がなかった」では済まされません。
全体トレンドと統計
警察庁が2026年3月に公表した2025年サイバー情勢から、特に重要な数値を抜粋します(nippon.com、東京新聞)。
| 指標 | 2025年実績 | 前年比 |
|---|---|---|
| ランサムウェア被害報告 | 226件(過去最多) | 増加 |
| フィッシング報告件数 | 245万4,297件 | 約1.4倍 |
| ネットバンキング不正送金被害額 | 約103億9,700万円(過去最悪) | +17億円 |
| 法人の不正送金被害 | 約47億円 | 約4倍 |
| 証券口座乗っ取りによる不正売買額 | 約740億8,000万円 | 急増 |
重要インフラへの政府対応
2026年5月1日、赤沢経産大臣が 電力・ガス・クレジットカード事業など重要インフラ事業者 に対しセキュリティ対策の緊急点検を要請しました。高性能AIによるサイバー攻撃リスク に備えるもので、電力事業者24社には1ヶ月以内の報告を要請しています(TBS NEWS DIG)。
ここから何を学ぶか - 共通する5つの教訓
10件の事案を俯瞰すると、共通する課題が見えてきます。
1. MFA未設定はもはや「過失」レベル
アスクルの侵入経路は MFA未設定の委託先アカウント でした。2026年現在、MFAなしのSaaS/VPN/GitHubアカウント はほぼ確実に狙われます。CAMPFIREやマネーフォワードのGitHub事故も、認証情報1つの突破で大量被害が出ています。
2. 委託先・サードパーティが最大の弱点
山形市(YCC情報システム経由)、アスクル(委託先管理者アカウント経由)、ホソカワミクロン(サプライチェーン経由)— 「自社が固くても委託先から落ちる」 が2026年の決まりパターンです。
3. GitHubアカウントは「準・本番システム」
CAMPFIREとマネーフォワードはどちらも GitHubアカウント経由で本番データに到達 されました。リポジトリ内に認証キーやデータベース構造、内部処理ロジックが残っていれば、それが攻撃ルートになります。
- リポジトリの secret scanning を必ず有効化
- SSO + MFA + IPアロウリスト をGitHub Organizationにも適用
.env系のコミット履歴をgit filter-repoで完全削除
4. SNS研修は「やるだけ」では効かない
日テレZIP!は 入社直後にSNS研修を実施した上で漏洩 しています。研修の存在ではなく、「投稿前に思いとどまるための仕組み」 が必要です。
- 業務エリアでのスマホ撮影禁止の物理対策
- ロッカーへのスマホ預け制度
- BeReal等の 時間プレッシャー型SNS に対する明示的な禁止規定
- 違反時の処分規程と本人への明文通知
5. 「Storyだから消える」は完全に幻想
三菱電機住環境システムズの事例は、24時間消去のはずのストーリーが360万ビューの炎上 に達しました。SNS時代において、「公開した瞬間が永続化の瞬間」 と考えるべきです。
まとめ
2025-2026年の日本のセキュリティインシデントは、
- サイバー攻撃側:MFA未設定とサプライチェーン、GitHub経由が主流
- 人的事故側:SNS(特にBeRealとInstagram Story)と新入社員リテラシー
- 被害規模:金額・件数ともに過去最悪を更新
という構図がはっきりしています。技術側だけ・人側だけのどちらか一方で防げる時代は終わり、「組織設計」「教育」「技術統制」の3点セット が必須になっています。
経営層や情報システム担当者は、自社のチェック項目を 本記事の10事例に照らして再点検 しておくことを強くお勧めします。
関連記事
- OpenClaw(旧Clawdbot/Moltbot)2026年4月最新版 - 約36万スターに到達したAIエージェントとセキュリティ嵐
- npmパッケージ「axios」乗っ取り事件(2026年3月31日)の全容と対策
- Hermes Agent 完全解説 - Nous Researchが放つ「成長するAIエージェント」
- ウェブサイト公開時のSEOチェックリスト - 必須項目を網羅
参考リンク
サイバー攻撃系
- アスクル:ロジビズ、ネットショップ担当者フォーラム、日経クロステック
- YCC情報システム/山形市:山形市公式発表
- CAMPFIRE:ITmedia NEWS、Security NEXT
- マネーフォワード:公式発表(第一報)
- 市立奈良病院:毎日新聞、ScanNetSecurity
- ホソカワミクロン:ScanNetSecurity
人的・SNS系
- 西日本シティ銀行 BeReal:ITmedia NEWS
- 日テレZIP!:スポニチ、スポーツ報知
- 三菱電機住環境システムズ/NTT東日本/川崎市:abe-legal.jp、isvd.or.jp
- BeReal仕組み解説:coki
統計・全体動向
- 警察庁2025年サイバー情勢:nippon.com
- ネット不正送金被害100億円超:東京新聞
- 重要インフラ緊急点検要請:TBS NEWS DIG