ソフトバンクから8000人以上の情報漏えい、2026年版の10大脅威発表：セキュリティ注目トピック

2026年1月下旬に起きた情報漏えいや危険な脆弱性の悪用など複数のサイバーインシデントや重要なソフトウェアアップデートを紹介する。

[畑陽一郎，キーマンズネット]

　2026年1月下旬にも情報漏えいや脆弱（ぜいじゃく）性を利用したサイバー攻撃が目立つ。1月29日までの主な事例としては、ソフトバンクから8000人分以上の情報漏えい、TOKAIコミュニケーションズから8万件以上の漏えいがあり、「Microsoft Office」や「VMware vCenter」にも危険な脆弱性が見つかった。なお、情報処理推進機構（IPA）が1月29日に発表した「情報セキュリティ10大脅威 2026」では例年と異なる傾向が現れた。

ソフトバンクから8000人以上の情報漏えい、2026年版の10大脅威発表

　今回は情報漏えいと脆弱性が目立った。ソフトバンクやTOKAIコミュニケーションズの他にも不正アクセスを防ぎきれず、漏えいに至った事例があった。

---

●2026年1月21日

　四国電力グループで、ITや通信に関連する事業を展開しているSTNetは、企業や自治体向けにサーバハウジングや仮想サーバを提供する「STクラウドサーバーサービス」に対するサイバー攻撃について発表した。2025年11月14日に同サービスの専用ネットワークに対する外部からの不正アクセスを検知し、専用ネットワークをインターネットから切断後、同11月18日には専用ネットワークに接続するサーバに置かれていたリモートアクセス用の設定ファイルを利用した不正アクセスだったことが判明したため、漏えいした可能性がある設定ファイルの利用権限を全て無効化した。同11月20日には2段階認証が有効でなかったユーザーの設定を有効化した。その後の調査の結果、2万846人分の個人情報が漏えいした可能性があると分かった。会社名、氏名、メールアドレスの他、一部の個人の電話番号と生年月日が対象だ。

---

●2026年1月23日

　TOKAIコミュニケーションズは同社が法人向けに提供する「OneOfficeメールソリューション」における個人情報の漏えいについて発表した。2025年12月3日に不正アクセスの可能性がある通信を検知した。調査の結果、当時は未知だったCisco Systemsの「Cisco Secure Email Gateway」の脆弱性がサーバ機器にあり、「OneOffice SPAM Filtering」から利用者のメールアドレスが7万9991件漏えいしたと分かった。この他のサービスからもメールアドレスやメールのログインID（合計845件）が漏えいした。

　BroadcomはVMwareに関する既知の脆弱性の悪用について発表した。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は悪用が確認された既知の脆弱性を指定するKEVカタログにこの脆弱性「CVE-2024-37079」を掲載した。共通脆弱性評価システム「CVSSv3.1」のベーススコアは9.8で重大な脆弱性（critical）だ。攻撃ではヒープオーバーフローを利用する。「VMware vCenter Server」のVMware vAPI Endpointで認証の不適切な検証が起きるため、攻撃者が任意のコマンドを実行可能になり、サーバを乗っ取ることができてしまうという。vCenter Server 7.x／8.xに影響がある。

---

●2026年1月26日

　Microsoftは「Microsoft Office」においてすでに悪用が確認された脆弱性についてセキュリティアドバイザリを発表した。対象製品は「Microsoft Office 2016／2019」「Microsoft Office LTSC 2021／2024」「Microsoft 365 Apps for Enterprise」などだ。この脆弱性「CVE-2026-21509」を悪用されると、Officeのセキュリティ機能をバイパスされてしまう。Officeが安全かどうかを判定する際に信頼できない入力データを信頼してしまう欠陥があり、攻撃者が悪用して保護された仕組みをすり抜ける可能性がある。CVSSv3.1のベーススコアは7.8で重要（high）な脆弱性であり、CISAのKEVカタログにも掲載された。ただし、プレビュー画面では悪用されず、ユーザーがファイルを開かなければ悪用できないという。

---

●2026年1月27日

　ソフトバンクはプロキシサーバの不具合による情報漏えいについて発表した。2026年1月13日に本人確認用の回線認証を利用したユーザーから「My SoftBank」にログインすると他人のものとみられる情報が表示されたという連絡を受け、調査したところ、2025年9月25日に導入した同サーバのソフトウェアの不具合が原因であり、さらに2026年1月13日の設定変更で不具合の発生頻度が高まっていたことが2026年1月19日に判明した。不具合は4種類ある。第1にMy SoftBankで契約内容や請求情報を照会した際に、他人の情報（氏名、住所、生年月日、電話番号、契約内容、請求金額など）が表示される。回線認証を利用するソフトバンクや他社のサービスで、異なる携帯電話番号で認証される。第2にソフトバンクの「S!メール」（MMS）とワイモバイルのMMSの送信時に、メールの本文はそのままながら送信元のメールアドレスや携帯電話番号が他人のものに入れ替わる。第3にAndroid 搭載端末を使った際、ソフトバンクS!メールとワイモバイルのMMSの受信時に他人宛てのメールを受信する。第4に「＋メッセージ」で、初期設定時やアカウント情報の更新時に他人のアカウントになってしまい、メッセージの送受信などが可能になる。不具合が発生した期間は2026年1月13〜17日で、件数は順に2019件、2209件、1906件、2241件で、1月13日以前にも最大200件が影響を受けたという。

---

●2026年1月29日

　情報処理推進機構は「情報セキュリティ10大脅威 2026」を発表した。組織向け脅威では、1位が「ランサムウェア攻撃による被害」（11年連続11回選定）、2位が「サプライチェーンや委託先を狙った攻撃（8年連続8回選定）、3位が初選出の「AIの利用をめぐるサイバーリスク」だ。個人向け脅威は順位付けがなく、冒頭から「インターネット上のサービスからの個人情報の窃取」（7年連続10回）、「インターネット上のサービスへの不正ログイン」（11年連続11回）、4年ぶり8回目の「インターネットバンキングの不正利用」だった。