JR九州、1.4万人の情報漏えいから脆弱性まで 1月のセキュリティ重要事案9選：セキュリティ注目トピック

2026年1月に起きたランサムウェアや不正アクセスなど多数のサイバーインシデントや重要なソフトウェアアップデートを紹介する。

[畑陽一郎，キーマンズネット]

　2026年に入っても、サイバー脅威は勢いを緩めず、ランサムウェア攻撃や情報漏えいの報告が相次いでいる。1月23日までの主な事例としては、JR九州の関連企業で発生した約1万人分の情報漏えい、キヤノン製複合機やOracle製品の深刻な脆弱（ぜいじゃく）性が報告された。大規模なランサムウェア攻撃は確認されていないものの、中小企業を狙った攻撃事例は複数見つかった。

JR九州58社に連鎖被害、1月の重要インシデント9事例を解説

　ランサムウェアやDDoS攻撃といった組織的犯行が猛威を振るう一方で、設定ミスやサポート詐欺といった人為的な隙を突いた情報漏えいも後を絶たない。2026年1月は、JR九州グループの大規模漏えいや自治体の公開設定ミスなど、組織の守りの脆さが露呈した事例が相次いだ。

　今回は、企業が押さえておくべき、2026年1月の主要なサイバーインシデントと重要な脆弱性情報をまとめた。

---

●2026年1月5日

　島根県出雲市は個人情報漏えいについて発表した。漏えいした可能性があるのは2010〜2019年度で母子保健に関する助成金の申請をした2084人の個人情報だ。同市のWebサイトに2021年6月8日〜2025年12月19日まで掲載されていた母子保健に関する助成金交付要綱の様式（台帳）に申請者の個人情報が非表示シートに隠された形で公開されていた。申請者の氏名や住所、申請日、助成決定額などが含まれていた。

---

●2026年1月9日

　千葉県四街道市は個人情報が漏えいした可能性について発表した。市民安全パトロール隊や防犯指導員、自治会長に関する約1700人分の名簿の情報が漏えいした可能性がある。氏名や住所、生年月日、電話番号、メールアドレス、個人が特定される可能性のある約100件の画像が含まれる。

　2025年12月29日に四街道市安全安心ステーション事務室のPCでインターネットに接続中、画面に表示された偽のウイルス警告にだまされて約30分間、外部から遠隔操作可能な状態に置かれた。防犯協会の職員は1万5000円分の電子マネーを購入し、犯人に送金してしまった。

---

●2026年1月13日

　Microsoftは2026年1月13日（現地時間）に「Windows 11」（24H2と25H2）向けの月例更新プログラム「KB5074109」を公開した。修正された脆弱性は114件で、うち緊急が8件ある。8件のうち、6件はリモートコード実行を可能にする緊急「Critical」だ。「Microsoft Excel」に影響するのは共通脆弱性識別子が「CVE-2026-20957」のものなどがある。残りの2件は特権の昇格を引き起こす緊急のもので、Windows仮想化ベースのセキュリティ（VBS）エンクレーブにおける権限昇格の脆弱性「CVE-2026-20876」などだ。

　セキュリティ対策以外にもNeural Processing Unitを搭載したPCの電源問題の解決を図る修正プログラムなどが含まれている。更新プログラムを適用した後のバージョンは、Windows 11 25H2であれば「26200.7623」に変わる。

---

●2026年1月15日

　キヤノンはスモールオフィス向けプリンタ複合機やレーザープリンタにバッファオーバーフローの脆弱性が見つかったと公開し、ファームウェアのアップデータを提供した。有線ルーターやWi-Fiルーターなどを利用せずにインターネットに直接接続している場合、第三者に任意のコードを実行される、またはサービス運用妨害（DoS）攻撃を受ける可能性があるという。脆弱性は境界外書き込みの「CVE-2025-14231」など合計7つ。共通脆弱性評価システム「CVSSv3.1」のベーススコアは9.8で深刻度は緊急（Critical）。

---

●2026年1月16日

　不動産管理を主業務とする青山メイン企画はランサムウェア攻撃を受けたことを発表した。同年1月12日に同社のサーバとそこに接続されていたPCのファイルが暗号化されていることが分かり、ネットワークから切断したものの、外部にデータが持ち出された恐れがあるという。データの公開や金品の要求についてのオンラインミーティングへ誘う英文のテキストがサーバなどに残っていた。侵入経路や原因は特定されていない。

---

●2026年1月19日

　JR九州は同社のグループ会社の従業員情報が漏えいしたと発表した。グループ企業58社の合計1万4638人の氏名、メールアドレス、PCのログインIDが漏えいした。うち、漏えい件数が1000人を超えたのはJR九州エンジニアリング（1970人）、JR九州サービスサポート（1202人）、JR九州メンテナンス（1057人）だ。2025年10月17日にJR九州グループ会社のネットワークが不正アクセスを受けて、セキュリティツールが検知・防御したものの、完全に防御することはできなかった。

---

●2026年1月20日

　Oracleは四半期ごとに公開しているクリティカルパッチアップデートを公開した。対象製品は「Oracle Database Server」や「Oracle MySQL」、「Oracle NoSQL Database」、「Oracle Virtualization」など多岐にわたり、337の脆弱性を含む。認証なしでリモートエクスプロイト可能かつ攻撃ベクトルがネットワークとなっている危険な脆弱性が200以上ある。CVSS v3.1のベーススコアが10.0で深刻度が「Critical」（緊急）のものは、「Oracle Commerce Guided Search」に関連する「CVE-2025-66516」、「Oracle Communications Order and Service Management」に関連する「CVE-2025-66516」、「Oracle Business Process Management Suite」に関連する「CVE-2025-66516」、「Oracle HTTP Server」「Oracle WebLogic Server Proxy Plug-in」に関連する「CVE-2026-21962」、「Oracle Middleware Common Libraries and Tools」に関連する「CVE-2025-66516」、「PeopleSoft Enterprise PeopleTools」に関連する「CVE-2025-66516」だ。

●2026年1月20日

　清涼飲料などを受託生産するトンボ飲料はランサムウェア被害について発表した。2026年1月15日に同社の一部のサーバが攻撃を受け、取引先情報の一部が外部に流出した可能性があるという。会計ソフトに登録した取引先の銀行口座情報以外に流出した可能性があるかどうかは分かっていない。なお、原材料の調達、生産、支払いなどには影響が出ていないという。

---

●2026年1月21日

　プラスチック材料や素材を製造するコバヤシは不正アクセスによる情報漏えいについて発表した。同社の社員と取引先、一部の関係者に関する8149件の個人情報が漏えいした。漏えいデータのうち56件はマイナンバーを含んでいた。2025年11月4日に警視庁サイバー犯罪対策課から、同社のサーバへ不正プログラムが組み込まれ、サーバ内の情報が外部からの不正アクセスにより窃取されている可能性があるという連絡を受けた。直後にサーバをネットワークから切り離したものの、盗み出された情報が外部のWebサイトに公開されてしまった。不正アクセスの原因はシステムの一部の脆弱性を突かれたことだという。