7月初週は、メール基盤に組み込まれた第三者製ソフトウェアの脆弱性悪用や、業務委託先が管理するサーバへの不正アクセスに関する公表があった。自社システムだけでなく、クラウドサービスや委託先を含めた構成情報、アカウント、インシデント発生時の連絡体制を点検する必要がある。
本稿では、2026年7月3日から7月10日までに公表または更新された、国内の主なセキュリティインシデント情報を整理する。この期間には新たな事案の公表だけでなく、既報の不正アクセスについて原因や影響範囲が判明した続報もあった。特に、外部事業者が提供するシステムや第三者製ソフトウェアを経由して影響が及んだ事例が目立つ。
KDDIウェブコミュニケーションズは2026年7月6日、レンタルサーバ「CPI」の利用者向けメールサービスに対する不正アクセスについて、調査結果を公表した。同社によると、CPIのメールサービスは、KDDIが開発したISP事業者向けメール基盤を利用している。不正アクセスは、KDDIが同基盤の一部として導入していた第三者製ソフトウェアの脆弱(ぜいじゃく)性が悪用されたことによるものだという。
KDDIウェブコミュニケーションズの利用環境では、6月8日から不正アクセスが発生していた。KDDIは6月17日に不正アクセスを確認し、同日、被害拡大を防ぐためにシステムを改修した。KDDIウェブコミュニケーションズは6月21日、KDDIから不正アクセスと顧客情報漏えいの可能性について報告を受けたとしている。
調査の結果、同システムで作成された電子メールアドレス125万543件について、漏えいした事実が確認された。パスワードそのものの漏えいはないとしているが、同社は予防措置としてパスワード変更を案内しており、未変更の利用者を対象に強制変更を実施する。
出典:当社メールサービスに対する不正アクセスの発生に関するお詫びとご報告(KDDIウェブコミュニケーションズ)
福岡大学は2026年7月9日、学生向けに利用していた筆記試験対策サイト「SMART SPI」の運用サーバが不正アクセスを受け、保存されていた情報が外部に漏えいした可能性があると公表した。
同サイトは、福岡大学の委託先であるノストラムが提供、運用していた。委託先が管理するサーバでは4月19日に停止が発生し、不正アクセスの可能性が判明した。調査の結果、攻撃者は4月17日に委託先のネットワークへ侵入し、ファイルを暗号化した他、外部から不正に侵入するためのバックドアを構築していたことが分かった。攻撃者側のサイトには、窃取したデータを公開する旨の告知があったという。
一方、情報窃取を示す直接的な証拠は確認されていない。外部事業者による調査でも、漏えいしたデータが外部で公開された事実は確認されていないが、保存データが窃取された可能性は完全には否定できないとしている。漏えいした可能性がある情報は、2023年度から2026年度までに福岡大学に在籍した学生の学籍番号と生年月日、氏名、模擬試験などの受験結果だ。医学部医学科の学生は対象外としている。
対象人数は、学籍番号、生年月日および受験結果がそれぞれ最大3万3668人、登録者の氏名が最大800人。これらは漏えいが確定した人数ではなく、対象となる可能性がある最大人数である。大学と委託先は、外部アクセスの遮断、外部専門業者による調査を実施したほか、文部科学省と個人情報保護委員会に報告したとしている。
出典:本学が委託する筆記試験対策サイトへの不正アクセスについて(報告とお詫び)(福岡大学)
アフラック生命保険は、同社システムに対する不正アクセスと情報漏えいに関するFAQを、2026年7月8日時点の情報に更新した。
同社によると、6月25日にシステムのCPU負荷が高まっていることを検知した。調査の結果、契約者向けサイト「アフラック よりそうネット」などに第三者が不正アクセスし、顧客や代理店の個人情報を含む一部の情報が不正に閲覧され、漏えいしたことが判明した。これまでの調査では、不正アクセスは6月15日から6月25日までに複数回実施されたことを確認している。
漏えいした顧客情報には、氏名と生年月日、性別、住所、電話番号、証券番号、保障内容、保険料振替口座に関する情報などが含まれる。マイナンバーとクレジットカード情報は含まれていないとしている。
6月30日付の公表によると、対象となる顧客は約438万人で、このうち約23万人は、漏えいした項目に保険料振替口座情報が含まれる。代理店関連では、過去に委託契約を結んでいた代理店を含む約4万店の情報が対象とされた。件数や情報項目は今後の調査で変動する可能性がある。
7月8日時点のFAQでは、該当する顧客に対し、口座情報を含む人を優先して7月10日から順次書面を発送し、7月中に通知を完了する予定としている。不正アクセスの詳しい原因と、停止しているシステムの復旧時期は、いずれも公表時点で確定していない。
出典:当社システムに対する不正アクセスの発生および情報漏えいに関するFAQ(アフラック生命保険)
フラウ・インターナショナルは2026年7月7日、メールによる問い合わせ対応の管理に利用している外部サービスの運営会社が、不正アクセスを受けたと公表した。
同社は6月30日、委託先から、同社が管理するサーバに対する第三者の不正アクセスを確認したとの報告を受けた。公表時点では、委託先や外部の専門家と連携し、影響範囲などを調査している。
漏えいした可能性があるのは、過去にメールで問い合わせた顧客の氏名やメールアドレス、電話番号など。対象となる情報項目は顧客によって異なり、具体的な対象人数や情報の範囲は調査中としている。
7月7日時点で、本件に起因する二次被害や、情報の不正利用といった具体的な事実は確認されていない。同社は個人情報保護委員会への報告を進めるとともに、調査結果や再発防止策を、詳細が判明次第公表すると説明している。対象となる顧客には個別に案内する予定だ。
出典:【重要】業務委託先における不正アクセスによるお客様情報漏えいの可能性に関するお詫びとご報告(第1報)(フラウ・インターナショナル)
今回取り上げた事案では、自社が直接開発、運用するシステムだけでなく、メール基盤に導入された第三者製ソフトウェアや、委託先が管理するサーバ、外部の問い合わせ管理サービスが不正アクセスの対象となった。
外部サービスを利用していても、そこで取り扱われる顧客情報や学生情報に対する責任や、事故発生時の対応まで外部に任せられるわけではない。情シス部門では、どの委託先が、どのシステムで、どの情報を取り扱っているかを確認できる状態にしておきたい。
委託先やサービス提供事業者については、インシデント発生時の報告期限や連絡先、調査への協力範囲、ログの取得・保管方針などを、契約や運用手順で確認する必要がある。委託先から第一報を受けた後、社内の法務や広報、経営層、利用部門にどのように情報を共有するかも、あらかじめ整理しておきたい。
また、初報では「漏えいの可能性」とされていても、その後の調査で漏えいが確認される場合がある。一方、調査を実施しても窃取の有無を確定できず、可能性を否定できないまま対応を続けるケースもある。初報の確認だけで対応を終えず、続報を追跡し、対象範囲や利用者への案内、社内対応を更新できる運用が必要だ。具体的な契約上の責任や法的対応については、法務やセキュリティの専門家への確認が必要となる。
2026最新サイバー攻撃トレンド 業務委託リスク対策のための6つの点検ポイント
できるだけお金を掛けない「春のセキュリティ総点検」 新年度に見直すべき10項目を解説
ランサムウェア攻撃で業務委託先から個人情報流出 自治体や金融機関が持つ150万件Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。