GitHub、OSS、なりすまし――4月公表の事例に見る“業務の足元”を狙うインシデント

2026年4月後半までに公表されたセキュリティ事案では、開発管理基盤やOSS、ファイルサーバ、業務メールなど、日常運用に深く入り込んだ仕組みが焦点となった。単なる「外部からの攻撃」ではなく、認証、委託データ、確認フロー、業務継続の観点から注目すべき事例が目立つ。

[中村篤志，キーマンズネット]

　2026年4月のセキュリティインシデントを見ると、「GitHub」のアカウント、委託先が保管するファイルサーバ、医療機関の業務システム、役員名をかたるメールといった、日常業務の中で使われる仕組みや手順が問題の起点になっていた。

　特に目立つのは、攻撃や不正アクセスそのものだけでなく、その後の業務影響や復旧判断まで含めて公表された事案だ。決済やログイン機能の停止、診療体制の一部制限、受託データの漏えいのおそれ、従業員名簿の外部送信など、情報システム部門（情シス）が現場部門や経営層と連携して対応すべき論点が含まれている。

　本稿で取り上げるのは以下の5つだ。

• CAMPFIRE、GitHubアカウントへの不正アクセス第3報
• 市立奈良病院、サイバー攻撃の疑いで診療体制を一部制限第2報
• YCC情報システム、ランサムウェア攻撃で受託、保管情報に漏えいのおそれ第4報
• UPSIDER、OSS（オープンソースソフトウェア）経由の不正アクセスとフィッシングサイトへの注意喚起
• 日本カーソリューションズ、役員名をかたるメールで従業員名簿や連絡先が流出

1．CAMPFIRE、不正アクセスで顧客情報管理システムに痕跡を発見

　CAMPFIREは2026年4月22日、システム管理用GitHubアカウントへの不正アクセスに関する第3報を公表した。同社によると、詳細調査の結果、顧客情報を管理するシステムの一部で外部からの不正なアクセスの痕跡を確認したという。

　同社は当該システムの情報の安全確保措置を完了し、影響範囲の検証を進めている。公表時点では、同社は影響範囲について検証中としており、検証結果が判明次第報告するとしている。

出典：GitHubアカウントへの不正アクセス発生に関するお知らせとお詫び（第三報）（株式会社CAMPFIRE）

2．市立奈良病院、システム異常に伴う診療制限を一部解除

　奈良市は2026年4月23日、市立奈良病院へのサイバー攻撃の疑いによる診療体制の一部制限と現状について第2報を公表した。システム異常の影響により、外来診療、入院診療、手術などに影響が出た。

　奈良市によると、ネットワーク監視装置による初動対応で検知と遮断が機能したため、2026年4月時点で個人情報の漏えい、データ破損、ウイルス感染などの被害は確認されていない。4月23日から病棟で電子カルテを部分的に再開し、4月24日から外来診療、入院診療、救急受け入れを含む通常診療を再開する予定だとした。

出典：市立奈良病院へのサイバー攻撃の疑いによる診療体制の一部制限と現状について（第2報）（奈良市）

3．YCC情報システム、ファイルサーバがランサムウェア被害

　YCC情報システムは2026年4月14日、ランサムウェア攻撃に関する第4報を公表した。同社は2026年4月2日、ファイルサーバがランサムウェア攻撃を受けた事象を確認した。

　第4報では、取引先から受託、保管していた情報の一部について、漏えいの恐れが否定できない状況であることが判明したとしている。外部専門機関と連携し、原因究明、漏えいの恐れがある情報の特定、影響範囲の詳細調査を続けている。受託データの返却または再提供については、安全性を確保した方法で順次開始する予定だとしている。

出典：【重要】ランサムウェア攻撃に関するお知らせ（第四報）（株式会社YCC情報システム）

4．UPSIDER、OSS経由の不正アクセスを公表

　UPSIDERは2026年4月10日、同年4月1日に発生した決済やログイン機能などの停止について、調査結果を公表した。同社によると、利用していたオープンソースソフトウェアに第三者が悪意あるプログラムを混入し、それを通じて同社環境への不正アクセスが行われたことが原因だという。

　同社は、カード決済やログインなどのサービス停止は被害拡大を防ぐための措置であり、攻撃によるシステムダウンではないと説明している。カード情報の漏えいは確認しておらず、社内調査の範囲では、個人情報と法人情報を保管するデータベースへの不審なアクセスや漏えいの事実も確認していない。ただし、社内調査では検証が難しい領域があるとして、外部専門機関による詳細調査を進めている。

　また同社は2026年4月22日、UPSIDERを模倣したフィッシングサイトを確認したとして注意喚起した。ログイン前の正規ドメイン確認、二要素認証、SAML SSO（企業の認証基盤を使ったシングルサインオン）の活用、不審サイトに情報を入力した場合のパスワード変更やカード一時ロックを呼びかけている。

出典：【続報】2026年4月1日のシステム障害に関する調査結果および第三者による不正アクセスの発生についてのご報告（株式会社UPSIDER）

出典：【重要】UPSIDERを装うフィッシングサイトにご注意ください（株式会社UPSIDER）

5．日本カーソリューションズ、役員なりすましに従業員名簿を送信

　日本カーソリューションズは2026年4月7日、従業員名簿および連絡先の流出事案を公表した。同社によると、2026年3月31日、同社役員の名前をかたる第三者がメールを送り、従業員名簿および連絡先が保存されたファイルの送信を要求した。担当者は4月1日、当該メールに返信し、ファイルを添付したという。

　4月6日に同一人物と思われる者から別メールアドレスで再度メールが届いたことをきっかけになりすましが発覚した。同社は、社員をかたるメールやショートメッセージによって、フィッシングサイトへ誘導するメッセージが配信される可能性があるとして、送信元や内容に不審点がある場合は返信せず、担当部支店や代表番号に確認するよう求めている。

出典：【注意喚起】弊社従業員名簿および連絡先の流出事案発生のご報告（日本カーソリューションズ株式会社）

“止める基準”と“戻す手順”を決めているか

　今回の事例から見えるのは、攻撃を受けた後の初動判断の重要性だ。UPSIDERの事案では、決済やログイン機能などの停止について、攻撃でシステムが停止したのではなく、被害拡大を防ぐために同社が実施した措置だったと説明している。インシデント対応では、サービスを止めることが被害を抑えるための選択肢になる。

　市立奈良病院の事案では、システム異常の影響で診療体制を一部制限した後、病棟で電子カルテを部分再開し、その後、外来診療や救急受け入れを含む通常診療を再開した。業務を再開する際には、影響範囲や安全性を確認しながら段階的に戻す対応が求められる。

　情シスとしては、障害や攻撃を検知した際に、どのシステムを止めるのか、誰が判断するのか、どの条件を満たせば再開できるのかを事前に確認しておきたい。特に決済、認証、電子カルテ、受発注など業務停止の影響が大きいシステムでは、技術的な復旧手順だけでなく、現場部門や経営層との連絡ルートも含めて整理しておく必要がある。