誤送信からランサムウェアまで 連休前に点検したい脅威の「入り口」は3つ

2026年4月前半は、不正アクセスやランサムウェアに加え、メール誤送信やテスト環境の管理不備に関する事案も公表された。中堅・中小企業が見落としやすい運用上のリスクが改めて意識される時期となった。

[中村篤志，キーマンズネット]

　2026年4月前半に公表されたインシデントを見ると、テスト環境や社内運用、過去事案の調査結果公表など、見落とされがちな領域に関する問題が目立った。中堅・中小企業では、こうした領域は日常業務に追われる中で後回しにされやすい。システム更改時の検証環境や委託先とのやりとり、メール送信フロー、旧システムの管理においては、不備や管理の甘さがインシデントにつながり得ることを踏まえ、自社においても留意すべき課題として捉えておきたい。

本稿で取り上げるのは以下の5つだ。

• 東急リゾーツ＆ステイの誤送信による個人情報漏えい
• 阿波銀行のテスト環境への不正アクセスと情報漏えい
• システムソフトの子会社がランサムウェア被害
• メディカ出版のランサムウェア被害の第3報
• テインのランサムウェア事案、7304人分の漏えい可能性を公表

1．東急リゾーツ＆ステイ、誤送信で9万5986人分の情報が漏えい

　東急リゾーツ＆ステイは2026年4月3日、個人情報漏えいに関するおわびと報告を公表した。資料によると、同社が取り扱うファイルが、委託先である協力会社の従業員1人宛てに誤送信された。対象は、2025年4月1日〜2026年1月31日までに「東急ステイ大阪本町」「東急ステイメルキュール大阪なんば」「東急ステイ渋谷」に宿泊した利用者で、氏名や勤務先（一部のみ）、予約番号や施設名、部屋タイプ、到着日・出発日などの宿泊情報が含まれていた。人数は9万5986人。住所、生年月日、連絡先、クレジットカード番号、口座情報は含まれないとしている。原因はメール送信時の宛先確認の不徹底で、同社は社外送信に「Microsoft Outlook」などを使わず、社内限定ツールに運用を絞る再発防止策を示している。

出典：個人情報漏えいに関するおわびとご報告（東急リゾーツ＆ステイ）

2．阿波銀行、テスト環境の不正アクセスで2万7745件の情報漏えい

　阿波銀行は2026年4月3日、行内の情報共有に使うOAシステムのテスト環境が不正アクセスを受け、保管していた顧客情報などの一部が漏えいしたと公表した。同行によると、通常業務や取引を扱う本番環境とは切り離された環境であり、各種取引は通常通り利用できるとしている。一方で、漏えいが確認された情報のうち、顧客情報（同行は「お客さま情報等」と表記）を含むものは延べ2万7745件に上り、法人インターネットバンキング契約先の会社名や登録メールアドレス、株主情報の氏名、住所、株主番号、保有株式数、さらに一部では配当金受取預貯金口座番号を含むとしている。2026年3月24日に外部セキュリティ会社から漏えいの可能性について連絡を受け、25日に同行情報と確認後、アクセス遮断などの措置を講じた。漏えい経路は公表時点で調査中としている。

出典：不正アクセスによるお客さま情報等の漏えい発生について（阿波銀行）

3．システムソフト、子会社マムクリエイトがランサムウェア被害

　システムソフトは2026年4月8日、子会社マムクリエイトの社内サーバの一部がランサムウェアにより暗号化される被害が発生したと公表した。発覚は4月7日で、外部専門家の協力のもとで調査を開始し、警察にも通報したとしている。公表時点では、情報流出の事実や個人情報を含むデータ流出は確認できていない一方、調査は継続中とした。今回の被害は社内システムであり、マムクリエイトの顧客向けサービスやWebページ、メールシステムは通常通り利用できると説明している。情報流出が未確認でも、まずは社内サーバを切り離して二次被害を防ぐ対応が前面に出た事案といえる。

出典：当社子会社におけるランサムウェア被害の発生について（システムソフト）

4．メディカ出版、77.2万件の個人情報が漏えいした可能性

　メディカ出版は2026年4月9日、3月13日に発生したランサムウェア被害の第3報を公表した。4月8日15時時点の確認情報として、攻撃を受けたサーバに保有していた個人情報のうち、漏えいの可能性があるものは合計77万2000件と説明している。対象にはメディカID登録者の氏名やメールアドレス、住所などに加え、一般顧客、執筆者、外部事業者、委託元企業や施設、団体から預かった情報、従業員や応募者の情報が含まれる。委託元から預かった情報には、IDやパスワード、パスポート、在留カード、健康診断結果、銀行口座なども含まれるとしており、影響範囲は広い。4月8日までの時点では、情報の外部公開や二次被害は確認していないが、フィッシングや不審メールへの注意を呼びかけた。

出典：不正アクセス（ランサムウェア）被害に関するご報告と現在の状況について（第3報）（メディカ出版）

5．テイン、最終報で7304人分の漏えい可能性を公表

　テインは2026年4月8日、2025年10月に発生したランサムウェア感染によるシステム障害について最終報を公表し、従業員および株主に関する個人情報7304人分が漏えいした可能性があることを明らかにした。2025年10月30日に米国子会社から社内サーバ接続不能の連絡を受け、ファイル暗号化と犯行声明文を確認。外部専門機関の調査では、ファイルの作成、閲覧などの操作が可能な状態だった一方、外部への情報持ち出しを直接示す痕跡は確認されなかったという。それでも、株主情報や従業員、退職者の住所、電話番号、メールアドレスに加え、一部では基礎年金番号やマイナンバーが含まれる可能性があるとして、本人通知を開始した。原因はシステムの一部の脆弱（ぜいじゃく）性を突いた第三者による不正アクセスとしている。

出典：ランサムウェア感染によるシステム障害発生についてのおわびとお知らせ（最終報）（テイン）

見落としやすい“入り口”をどう見るか

　今回の5件を並べると、情シスが点検すべき論点は大きく3つある。1つは「本番外環境の管理」だ。阿波銀行のようにテスト環境が侵入口になると、本番環境の分離だけでは安心できない。2つ目は「メール送信や外部共有の運用統制」で、東急リゾーツ＆ステイのような誤送信は技術的防御だけでは防ぎ切れない。3つ目は「ランサムウェア発生後の棚卸しと通知設計」で、メディカ出版やテインのように、後続報で影響範囲が具体化するケースでは、初動時点から「どのデータが、どこに、どれだけあるか」を説明できる体制が重要になる。委託先や子会社も含め、平時の資産管理と権限管理、送信ルール、周辺システムの見直しを進めたい。