2026年 日本のセキュリティインシデントまとめ - 1月のマイナビ・東海大からKDDI1422万件まで
はじめに
2026年の日本は、サイバー攻撃と人的事故(特にSNS)が同時多発する一年になっています。年明けからランサムウェアと委託先・サプライチェーン経由の漏洩が続き、春以降は GitHub アカウント経由の不正アクセス、医療機関へのランサムウェア、新入社員によるSNS漏洩が加わりました。本記事では、2026年1月から公表された主要インシデントを通年・種別横断で整理します(随時追記)。前年分は2025年版を参照してください。
NOTE
本記事は公表内容・報道に基づくまとめです。被害規模は「漏洩の可能性がある最大件数」を含み、確定値でない場合があります。各項目の出典で最新の発表をご確認ください。
全体像 - 主なインシデント一覧
| 時期 | インシデント | 種別 | 被害規模(公表値) |
|---|---|---|---|
| 6月 | KDDI系 ISP向けメール不正アクセス | 認証情報漏洩 | 最大1,422万件 |
| 6月 | 九州電力送配電 SSD紛失 | 媒体紛失 | 最大1,090万口 |
| 6月 | 九州大学病院 ランサムウェア | 医療/ランサム | 患者43名分の可能性 |
| 6月 | 佐嘉平川屋 EC Eスキミング | 決済改ざん | カード5,783名・個人3万件 |
| 6月 | コマツ システム設定不備 | 設定ミス | 約13.9万件が閲覧可能 |
| 5月 | 九州大学病院など各社 | ランサム/不正アクセス | 各社別 |
| 4-5月 | マネーフォワード / CAMPFIRE | GitHub経由 | ソースコード・最大22.6万件 |
| 4月 | YCC情報システム経由 山形市など | 委託先攻撃 | 約51万件 |
| 4-5月 | 市立奈良病院 | 医療/攻撃疑い | 診療業務に影響 |
| 4月 | 西日本シティ銀行 BeReal ほか | SNS人的事故 | 顧客情報の写り込み |
| 3月 | マツダ(タイ拠点) | 不正アクセス | 692件 |
| 2月 | 東海大学(委託先) | サプライチェーン/ランサム | 最大約19.3万件 |
| 2月 | マイナビ | クラウド不正アクセス | 約11.2万件 |
| 2月 | 穴吹ハウジングサービス | ランサム(Qilin) | 確定207,773件 |
| 2月 | 信和グループ会社 | サポート詐欺 | 約2.5億円の損失 |
| 1月 | スマレジ(外部アプリ経由) | 設定不備 | 約11万件 |
| 3月末 | axios npm 乗っ取り | サプライチェーン(OSS) | 国内CI/CDに波及リスク |
【大規模・インフラ系】
KDDI系 ISP向けメールシステム 不正アクセス(6月23日公表)
KDDIが提供する ISP 向けメールシステムへの不正アクセスで、最大約1,422万件のメールアドレス・パスワードが漏洩した可能性が公表されました。@nifty・BIGLOBE・J:COM など6社に波及。原因は第三者製ソフトウェアの脆弱性とされています(6月17日検知・同日対処)(ITmedia、Impress Watch)。
九州電力送配電 SSD紛失(6月8日公表)
バックアップ用の外部SSDがサーバー室から所在不明になり、最大約1,090万口分の顧客情報(需要者名・住所・使用電力量等)が紛失。SSDは暗号化・パスワード未設定で、窃盗の可能性もあるとして福岡県警に被害届を提出しました(銀行口座・クレカ情報は非含)(九州電力送配電 公式、日経新聞)。
WARNING
インフラ事業者でも「持ち出せる媒体の暗号化」という基本が抜けると大規模漏洩に直結します。委託先57名が出入りするサーバー室の媒体管理・入退室管理の重要性を示す事案です。
【GitHub・サプライチェーン系】
CAMPFIRE / マネーフォワード GitHub不正アクセス(4-5月)
クラウドファンディングの CAMPFIRE は、システム管理用 GitHub アカウントへの不正アクセスで最大22.6万件(口座情報8.2万件含む)が漏洩した可能性を公表(ITmedia)。マネーフォワードも GitHub 認証情報の漏えいでリポジトリがコピーされ、ビジネスカード370件の一部情報が流出(公式)。「GitHubアカウントが裏口になる」パターンが続発しました。
NTTPC WebARENA 不正アクセス(4-5月発生・6月24日公表)
ファイル転送機能への不正アクセスで、メールアドレス7,446件・アップロードファイル4,463件に漏洩の恐れ。システム全体を再構築するためサービスを停止しています(ITmedia)。
NOTE
自動化されたサプライチェーン攻撃も激化しており、報道では「6時間で5,561の GitHub リポジトリを侵害」した自動攻撃も伝えられています。リポジトリの secret scanning、SSO+MFA、.env 履歴の除去は必須です。Webhook やトークンの守り方はWebhook 受信のベストプラクティス・JWTも参照。
【委託先・医療機関系】
YCC情報システム経由 山形市など51万件(4月)
山形県のSI企業 YCC情報システム への攻撃で、委託元の山形市を含む複数自治体・民間の約51万件が漏洩した可能性。健康情報・マイナンバー・児童相談情報まで及び、「地方SIベンダー1社が落ちると地域全体が落ちる」構造を露呈しました(山形市 公式)。
市立奈良病院 / 九州大学病院(医療機関)
市立奈良病院は4月、外部からの異常通信を検知し電子カルテを一時切り離し(毎日新聞)。九州大学病院は5月25日、研究室の孤立端末がランサムウェア感染し、患者43名分の情報流出の可能性(診療システムへの影響なし)(九州大学病院 公式、Internet Watch)。攻撃グループ名は報道では「LockBit系」とされますが、病院公式の言及は確認できていません(報道ベース)。
【決済・Eスキミング】
佐嘉平川屋 オンラインショップ(6月公表)
ECサイトの決済ページが改ざんされ(Eスキミング)、カード情報5,783名・個人情報30,170名が漏洩の可能性。個人情報の対象期間は約5年間に及びました(佐嘉平川屋 公式)。自社EC運営者は決済ページの改ざん検知を仕組みで持つべき、という教訓です。
【人的・SNS系】 - 新入社員のSNS漏洩が多発
2026年4月、入社直後の新入社員によるSNS漏洩が各業界で連鎖的に発生しました。
- 西日本シティ銀行: 行員が「BeReal」で支店内を撮影投稿し、顧客7名の氏名や業績数値が写り込み炎上(ITmedia)
- 日テレ「ZIP!」: 制作会社の新人が番組内部資料・入館証を Instagram ストーリーに投稿
- 三菱電機住環境システムズ: 機密保持誓約書を「こんなん書かされたw」と投稿し360万ビュー炎上
- NTT東日本・川崎市役所ほか: シフト表・研修資料の投稿が続発
- 大阪国税局: 「刑事」を名乗る詐欺師にだまされた職員が納税者資料を撮影しLINE送信(個人179・法人80件)。ソーシャルエンジニアリングの例(日経新聞)
WARNING
営業秘密を漏えいさせると不正競争防止法違反で、個人は10年以下の懲役または2,000万円以下の罰金、法人は5億円以下の罰金の可能性。「Storyだから消える」「悪気がなかった」は通用しません。
【1〜3月】年明けから続いたランサム・委託先・クラウド被害
春の大型案件の前に、2026年は年明けからランサムウェアと委託先経由の漏洩が続いていました。
委託先・サプライチェーン経由
- 東海大学(2月18日公表): 業務委託先が構内限定のデータを社内に持ち帰り、その委託先サーバーがランサムウェア被害。学生・教職員・保護者など最大約19.3万人分の可能性(ITmedia)。「委託先のルール違反」が起点という典型例
- スマレジ(最終報3月9日): 連携する外部アプリ(coastline)の設定不備で、POS利用8社の顧客氏名11万件・電話番号10万件が漏洩可能性(スマレジ 公式)
- マツダ(3月19日公表): タイ拠点の調達管理システムの脆弱性を突かれ、従業員・取引先692件(顧客情報への影響なし)(マツダ 公式PDF)
ランサムウェア
- 穴吹ハウジングサービス: Qilin グループの攻撃で、当初約49.6万人分の可能性として公表され、最終的に207,773件の漏洩を確認(ダークウェブ掲載確認)(公式)
- トンボ飲料(1月)・新光商事 米国法人(1月公表)でもランサム被害。製造・流通も継続的に標的に
クラウドへの不正アクセス・内部不正・詐欺
- マイナビ(2月12日公表、検知は2025年12月): 利用クラウドサービスへの不正アクセスで約11.2万件(一般・法人担当・従業員)(マイナビ 公式)
- JOGMEC(2月17日公表): 退職した元職員による内部不正での情報持ち出し
- 信和グループ会社(2月): サポート詐欺で約2.5億円の金銭被害。サポート詐欺・BEC による億円単位の損失が複数発生
サプライチェーン(OSS): axios npm 乗っ取り
3月31日、世界的に使われる npm パッケージ axios のメンテナーアカウントが侵害され、悪意ある依存(plain-crypto-js)経由で RAT を配布するサプライチェーン攻撃が発生。発生が日本企業の始業・CI/CDのピーク時間帯と重なり、国内の自動更新による取り込みリスクが指摘されました(具体的な被害企業は未公表)。詳細はaxios乗っ取り事件の全容と対策を参照。
NOTE
1〜3月は委託先・グループ会社・外部アプリ・OSSといった「自社の外」を起点とする被害が目立ちました。被害規模は調査の進展で変わるため(穴吹: 49.6万→20.7万、マイナビ: 検知2025年12月→公表2月 など)、「発生」「検知」「公表」の時点を分けて読むのが大切です。
2026年のトレンド
- IPA「情報セキュリティ10大脅威2026」(1月29日公表): ランサムウェアが6年連続1位、サプライチェーン攻撃が2位、「AIの利用をめぐるサイバーリスク」が3位に初登場。個人向けではネットバンキング不正利用が4年ぶりに再ランクイン(IPA 公式)
- 相談の急増(IPA Q1): 1〜3月の相談で「ウイルス検出の偽警告」が前四半期比+46%、企業向けでは「社長等をかたる詐欺メール」が多数。なお2/1〜3/18はサイバーセキュリティ月間(IPA Q1)
- メール基盤への連続攻撃: IIJ → TOKAIコミュニケーションズ → WebARENA → KDDI と、日本のメール基盤が連鎖的に攻撃を受けています(多くがサードパーティ製ソフト由来)
- AI悪用の警告: ファイブ・アイズが「フロンティアAIが攻撃能力を変える、タイムラインは数年でなく数か月」と共同警告(2026年6月)
共通する教訓
- MFA未設定はもはや過失。SaaS / VPN / GitHub は確実に狙われる
- 委託先・サードパーティが最大の弱点(YCC・アスクル余波・サプライチェーン)
- GitHubは「準・本番システム」。secret scanning・SSO+MFA・履歴除去を
- 持ち出せる媒体は暗号化(九電SSD)。EC は決済ページ改ざん検知を
- SNS研修は「やるだけ」では効かない。撮影禁止・端末預けなど仕組みで止める
まとめ
- 2026年は年明けからマイナビ・東海大・穴吹ハウジングなどの委託先・クラウド被害に始まり、春以降は KDDI 1,422万件・九電 1,090万口などの大規模漏洩と GitHub経由・医療機関への攻撃が続いた
- 人的事故では新入社員のSNS漏洩とソーシャルエンジニアリングが目立つ
- AIを悪用した攻撃が脅威ランキング入りし、メール基盤が連続標的に
- 対策は「技術統制・組織設計・教育」の3点セット。前年からの流れは2025年版も参照
サイバー攻撃と人的事故はどちらか一方だけでは防げません。自社のチェック項目を本記事の事例に照らして再点検しておくことを強くお勧めします。
