VPN、ファイル転送、公式SNS――“脇役システム”が事故の入口に

4月27日週に公表された事案を見ると、VPNやファイル転送サービス、外部Webサーバ、公式SNSアカウントなど、日常業務を支える“脇役”のシステムが狙われていることが分かる。

[中村篤志，キーマンズネット]

　4月27日週のセキュリティインシデントで目立ったのは、「重要システムが直接攻撃されたかどうか」だけでは整理しにくい事案だ。社外接続に使うVPNや、ファイルの受け渡しに使う転送サービス、Webサーバ、広報部門が扱う公式SNSアカウント――いずれも業務には欠かせないが、管理責任や運用実態が見えにくくなりがちな領域だ。

　これらの仕組みは、基幹システムほど目立たないが、外部との接点を持つ。だからこそ、棚卸しや権限管理、ログ確認、委託先との連絡ルールが後回しになると、被害の把握や初動対応が遅れやすい。今回紹介する事案は、そうした“周辺システムの死角”を改めて浮き彫りにしている。

　本稿で取り上げるのは以下の5つだ。

1. 村田製作所、不正アクセスで約8.8万件に影響の可能性
2. 内閣府沖縄総合事務局、「FileZen」専用サーバへの不正アクセス
3. アルプスアルパイン、VPNへの不正アクセス
4. イビデン、Webサイト障害が完全復旧
5. ウカ、旧X公式アカウントが第三者に不正利用

1．村田製作所、不正アクセスで8.8万件の個人情報に影響の可能性

　村田製作所は2026年4月27日、同社IT環境への不正アクセスに関する第3報を公表した。第2報（4月6日）以降、新たな被害は確認しておらず、同社が使用するシステムは通常稼働しており、生産や販売活動への影響はないとしている。

　同社によると、不正に取得された、またはその恐れがある個人情報を含むデータは、従業員および家族、退職者を含む関係者が約7万3000件、顧客や仕入先など社外関係者が約1万5000件。氏名や連絡先、会社メールアドレス、所属、銀行口座情報、健康情報、取引関連情報などが含まれる可能性があるという。ただし、対象者ごとに含まれる情報は異なり、同一人物が複数回算入されている可能性があるとしている。

　2026年5月時点で、取得された恐れのある情報がインターネットに公開された事実や、本件に起因する二次被害、情報の不正利用は確認していない。同社は、不審通信元からのアクセス遮断や監視強化、社内ネットワークやクラウド環境へのアクセス制限、認証方式、権限管理の強化などを進めるとしている。

出典：当社のIT環境への不正アクセスに関するお知らせ（第三報）（村田製作所）

2．内閣府沖縄総合事務局、FileZen専用サーバへの不正アクセス

　内閣府沖縄総合事務局は2026年4月28日、大容量ファイル転送サービス「FileZen」の専用サーバに不正アクセスがあり、保存されていた個人情報が外部に漏えいした可能性があると公表した。

　漏えいした恐れがある個人情報は、氏名や住所、電話番号、メールアドレスなどを含む可能性があり、報道および公表情報では対象は1万5091人とされている。2026年5月時点で具体的な被害は確認されていないが、不審な電話やメールに注意するよう呼びかけている。

出典：不正アクセスによる個人情報漏えいの可能性について（沖縄総合事務局）

3．アルプスアルパイン、外部VPNシステムへの不正アクセス

　アルプスアルパインは2026年4月27日、同社が利用している外部VPNシステムに不正アクセスを受け、「個人情報が外部の攻撃者に閲覧された可能性を否定できない事案」が発生したと公表した。

　同社によると、2026年3月18日に、社内システムの保守管理などを委託している委託先事業者から、外部の者による不正アクセスの痕跡が確認されたとの連絡を受けた。4月13日には、その後の調査で同社サーバにも不正アクセスされたことが判明し、社内システムへアクセスするために登録されている個人情報が「外部から閲覧された可能性を完全には否定できない状態になった」としている。

　影響を受ける可能性がある情報は、同社およびグループ会社の役員と従業員、退職者、委託先企業に所属する従業員のうち一部のログインIDや氏名、勤務先のメールアドレス、役職、部門名など。同社は、顧客情報や取引先情報への不正アクセス事実や外部閲覧、外部流出は現時点で確認していないとしている。

出典：社内システムアクセス用の個人情報に対する不正アクセスについて（アルプスアルパイン）

4．イビデン、Webサイト障害が完全復旧

　イビデンは2026年4月28日、同社Webサイトで発生していた障害が復旧したことを発表した。報道によると、障害は外部Webサーバへの不正アクセスが原因で、同社とは無関係なWebページが表示されていた。

　同社は、Webページ以外への侵入やランサムウェアによるサイバー攻撃の形跡は確認されておらず、顧客情報や個人情報の漏えい、社内システム停止などの障害も発生していないとしている。

出典：イビデン、Webサイトが完全復旧 情報漏えいなし（ロイター）

5．ウカ、旧X公式アカウントが第三者により不正利用

　ウカは2026年4月30日、同社が運用していた旧「X」公式アカウントについて、第三者による不正アクセスが確認されたと発表した。現在、当該アカウントは同社の管理下になく、投稿内容や発信情報に同社は関与していないとしている。

　同社は、旧アカウントのフォロー解除や不審な投稿、DM（ダイレクトメッセージ）、URLへのアクセス回避、個人情報入力や決済をしないように呼びかけている。また、X運営側に通報し、不正利用アカウントの早期停止に向けて対応を進めているという。

出典：【注意喚起】当社旧Xアカウントが第三者により不正利用されています（ウカ）

見落としやすい“周辺システム”をどう見るか

　今回取り上げた事案は、社内基幹システムそのものだけでなく、VPNやファイル転送サーバ、外部Webサーバ、公式SNSアカウントといった周辺領域にリスクが広がっていることを示している。これらは業務上不可欠でありながら、管理主体が情シスや委託先、広報、マーケティング部門など複数の部門に分かれやすい。

　そのため情シスは、インターネットに公開された資産やリモートアクセス経路、ファイル共有、転送基盤、公式アカウントの管理者権限を棚卸ししておきたい。特に、委託先が運用する環境では、事故発生時の初報ルール、ログ提供、対象データ特定、本人通知の分担を事前に確認しておくことが重要だ。